EMET 5.0이 얼마 전에 출시 되었습니다.
새로운 기능이 추가되었는데 ASR이라고 하는 기능입니다.
EMET 공식 가이드 문서를 참조하자면,
Attack Surface Reduction (ASR)
The Attack Surface Reduction (ASR) helps reduce the exposure of applications at risk for attacks by blocking the usage of specific modules or plugins within the target application. For example, EMET can be configured to prevent Microsoft Word from loading the Adobe Flash plugin, or, with the support of Security Zones, can be configured to prevent Internet Explorer from loading the Oracle Java plugin on a website in the Internet Zone while continuing to allow Java on Intranet Zone websites. The mechanism simply prevents DLL loading on a per-process base, and it essentially adds the benefit to “killbit” specific modules in specific applications.
쉽게 설명하면 공격을 사전에 방지하기 위해 DLL을 안 올라가게 한다, 그런 내용 같습니다.
<iexplore.exe에서 차단하는 DLL - 제품마다 다르게 적용됩니다>
자바 취약점의 경우도 우선 애플릿을 호출하기 위해 JRE 모듈을 브라우저에 끌어다 씁니다.
위 그림은 자바 애플릿을 호출하기 위한 DLL 목록입니다.
ASR기능을 사용하면,
위에서 설정한 jp2iexp.dll 이 로드되지 않습니다. 즉, 애플릿이 동작하지 않게 됩니다.
악성 페이지에서 효과가 있는 것을 확인 하였습니다.
혹 정상 페이지의 경우 어떻게 되는지 궁금해서 확인을 해보았습니다.
http://www.javakode.com/applets/03-color/
오진이 발생하면서 애플릿이 동작하지 않습니다. 위의 사이트에서 정상적으로 애플릿이 동작하는 것을 확인할 수 있습니다.
MS에서 자바 애플릿은 필요가 없다고 생각한 것인지, 아니면 확인하지 못한 오진인지 문득 궁금해집니다.
'Windows' 카테고리의 다른 글
Bonobo Git 설치 따라하기 (Windows 2012 R2) (0) | 2016.03.03 |
---|---|
APMSetup + SSL(https) 구축 무작정 따라하기 (3) | 2015.08.23 |
더미다 언패킹 따라하기 Themida - Winlicense Ultra Unpacker 1.4 (7) | 2014.11.11 |
Internet Explorer DLL Injector (0) | 2014.04.17 |
JMP SHORT, 어디까지 점프 가능한가? (0) | 2014.01.24 |