viernes, 1 de agosto de 2014

Microsoft publica EMET 5.0

EMET (Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de mitigación mejorada) es una gran utilidad para mitigar la explotación de vulnerabilidades mediante la inclusión de capas de protección adicionales. Microsoft acaba de anunciar la publicación de la nueva versión EMET 5.0 con dos nuevas medidas de mitigación y funcionalidades para dar a los usuarios una mayor flexibilidad en la implementación y configuración.

En una-al-día hemos mencionado frecuentemente EMET 3.0 y EMET 4.0 como contramedida para gran parte de las vulnerabilidades que se anuncian, especialmente indicado y recomendado para las de 0-day. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad.

Básicamente, Enhanced Mitigation Experience Toolkit es un programa para forzar el uso de DEP y ASLR en todos los procesos y programas, pero además previene de las técnicas habitualmente empleadas por los exploits para eludir estas medidas. Una buena explicación del uso, configuración y posibilidades de EMET se puede encontrar en el libro "Máxima seguridad en Windows: Secretos técnicos" de nuestro antiguo compañero Sergio de los Santos.

Dos nuevas mitigaciones

Además de ASLR y DEP, EMET añade protección contra un buen número de técnicas conocidas para eludirlas, como SEHOP ("Structure Exception Handler Overwrite Protection"), HSA ("Heap Spray Allocation"), EAF ("Export Address Table Access Filtering"), NPA ("Null Page Allocation") y BUR ("Bottom Up Randomization").

La nueva versión 5.0, añade dos mitigaciones a las mencionadas. La nueva ASR ("Attack Surface Reduction") proporciona un mecanismo para ayudar a bloquear, en determinadas condiciones, los módulos específicos o plug-ins incluidos dentro de una aplicación. Una excelente noticia, al ver una de las aplicaciones que puede tener. Es posible configurar EMET para evitar que el navegador cargue plug-ins Java de fuentes externas, mientras se sigue permitiendo el uso de Java en los sitios web de la intranet de una compañía.

La segunda mitigación añadida es EAF+ ("Export Address Table Filtering Plus"), que introduce dos nuevos métodos para ayudar a interrumpir ataques avanzados. Por ejemplo, EAF+ añade una nueva "página de protección" para evitar operaciones de lectura de memoria, comúnmente utilizadas en fugas de información para la construcción de exploits.

Con la nueva versión, muchas de las mitigaciones ROP están ahora disponibles para plataformas 64 bits: Hooks, Stack Pivot, Load Library y MemProt. Según Microsoft aun no han detectado exploit que hagan uso de técnicasROP para explotar aplicaciones 64 bits, sin embargo han extendido este tipo de mitigaciones para estar preparados para los tiempos futuros.

Nuevas opciones de configuración

EMET 5.0 ofrece nuevas opciones en la interfaz de usuario para que los usuarios puedan configurar como aplicar cada mitigación a su entorno, teniendo en cuenta sus necesidades y requisitos. Por ejemplo, se puede configurar que direcciones de memoria específicas proteger con la mitigación "Heap Spray Allocation").

Microsoft continua proporcionando valores predeterminados para la mayoría de las aplicaciones comúnmente empleadas por los usuarios.

Para ayudar a los administradores a implementar EMET, la nueva versión mejora la forma en que se gestionan los cambios de configuración a través de la red de una empresa. Se ha facilitado la propagación de cambios de configuración con las Directivas de Grupo en el Directorio Activo.

El nuevo Servicio Microsoft EMET también facilitará la monitorización del estado y de registros de cualquier actividad sospechosa. Con este nuevo servicio se pueden emplear procesos estándar como Server Manager Dashboard de Windows Server, para la monitorización.

Con EMET 5.0 se ha mejorado la gestión de "Certificados de Confianza", para permitir a los usuarios activar una configuración, con el fin de bloquear la navegación a sitios web con certificados que no sean de confianza o fraudulentos, lo que podrá ayudar a proteger o evitar ataques de hombre en el medio.

EMET 5.0 está disponible para descarga desde:

Más información:

General Availability for Enhanced Mitigation Experience Toolkit (EMET) 5.0

Enhanced Mitigation Experience Toolkit

Announcing EMET 5.0

Descarga EMET 5.0

una-al-dia (15/09/2011) Libro: "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos

una-al-dia (01/11/2011) Leyendo "Máxima Seguridad en Windows: Secretos Técnicos"

Máxima Seguridad en Windows: Secretos Técnicos. 2ª Edición revisada y ampliada




Antonio Ropero
Twitter: @aropero


jueves, 31 de julio de 2014

Desmontan la seguridad de los USB

La mayoría de los usuarios se intercambian memorias USB sin problemas, aunque los profesionales de la seguridad conocemos los riesgos que puede acarrear y la cantidad de virus que suelen transmitirse a través de este medio. Pero se ha anunciado una nueva vulnerabilidad en el propio diseño de los USB podría permitir tomar el control de un sistema, incluso con todas las protecciones y medidas de seguridad posibles.

Los investigadores Karsten Nohl y Jakob Lell, han desarrollado una muestra de malware, bautizada como BadUSB, que muestra como la seguridad de los USB ha sido desmontada. Aunque tienen previsto mostrar todos sus descubrimientos en una conferencia en la próxima Black Hat USA, se ha realizado un adelanto a través de un artículo en la revista Wired.

Nohl y Lell han realizado ingeniería inversa sobre el firmware, tras lo que han conseguido instalar su malware en el propio firmware del USB, de esta forma puede pasar completamente inadvertido ante cualquier análisis o escaneo. El USB de esta forma podrá tomar el control del PC o dispositivo. Según afirman los dos investigares la solución no es sencilla, el tipo de problema que han encontrado es prácticamente imposible de contrarrestar a no ser que se bloquee el USB.

"Estos problemas no pueden ser parcheados,
estamos aprovechando la forma en
que están diseñados los USB
"

El principal descubrimiento reside en que el firmware USB, que existe en todos los dispositivos USB, puede ser reprogramado para ocultar algún código malicioso. El problema no solo se limita a memorias flash, "pendrives" o similares, en general cualquier dispositivo USB puede ser reprogramado: teclados, ratones, etc.

Uno de los problemas radica en que los dispositivos no tienen ningún tipo de firma de código, hash, o similar que permita comprobar que el firmware del dispositivo es el que debería ser y no se ha manipulado.


Más información:

Why the Security of USB Is Fundamentally Broken


Antonio Ropero
Twitter: @aropero