Como determinar a mitigação de chamadas EMET?

3

Eu executo o EMET em minhas máquinas Windows. Ele funciona muito bem - ele interrompe uma série de ameaças, impondo algumas atenuações nos aplicativos. Não posso contar quantas vezes parou o Internet Explorer devido a um site tentando explorar um bug ...

Estou com um problema no Word 2013 sob o EMET. Sempre que eu criar um novo documento e, em seguida, salvá-lo, EMET pára o Word. O que quer que acione o EMET, é relacionado a clicar / tocar no botão Procurar em Salvar como . Então está relacionado com a caixa de diálogo Salvar Arquivo (abrir e salvar são OK através de atalhos de teclado. É especificamente a caixa de diálogo Salvar Arquivo ).

Quando o EMET pára o Word, o seguinte erro é gravado no log de eventos do aplicativo:

EMET detected Caller mitigation and will close the application: WINWORD.EXE

    Caller check failed:
      Application   : C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE
      User Name     : Windows8\John Doe
      Session ID    : 1
      PID       : 0xBE4 (3044)
      TID       : 0x6DC (1756)
      API Name  : ntdll.NtCreateFile
      ReturnAddress     : 0x165EB24A
      CalledAddress     : 0x7729CE80
      TargetAddress     : 0x165EA820
      StackPtr  : 0x04ECF494

Não sei o que o EMET considerou ofensivo, por isso não posso desativá-lo na configuração do aplicativo (ou seja, as remediações específicas do Word em EMET). Veja como são as escolhas. Eu já desliguei EAF e EAF+ porque EMET especificamente reclamou deles anteriormente (a DEP está desativada porque estou me agarrando a palhas):

ComopossodeterminarqualatenuaçãodechamadadoEMETfoiinvocadanoWord?

Estesprovavelmenteestãorelacionados: O IE 10 trava no 'File Upload' ao usar o EMET . Mas a questão vinculada dispara o EMET em um Upload de arquivo no IE.

    
por jww 13.01.2015 / 02:27

1 resposta

2

Eu vi o mesmo problema com o Word 2013 (Office Home e Business 2013 v15.0.4779.1002) no Prof. Win7 de 64 bits com EMET 5.5.5736.25442: tive um docx aberto no modo de compatibilidade e quando tentei alternar para "FILE" na faixa de opções para convertê-lo, o Word imediatamente caiu.

Inicialmente, para o aplicativo WINWORD.EXE, tudo foi ativado no EMET, exceto EAF + e Fonts. Eu só tive que desativar adicionalmente o Caller (ROP Caller Check) para evitar essas falhas.

    
por 21.01.2016 / 11:47