Microsoft publica EMET 5.0

En una-al-día hemos mencionado frecuentemente EMET 3.0 y EMET 4.0 como contramedida para gran parte de las vulnerabilidades que se anuncian, especialmente indicado y recomendado para las de 0-day. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad.

Básicamente, Enhanced Mitigation Experience Toolkit es un programa para forzar el uso de DEP y ASLR en todos los procesos y programas, pero además previene de las técnicas habitualmente empleadas por los exploits para eludir estas medidas. Una buena explicación del uso, configuración y posibilidades de EMET se puede encontrar en el libro “Máxima seguridad en Windows: Secretos técnicos” de nuestro antiguo compañero Sergio de los Santos.

Además de ASLR y DEP, EMET añade protección contra un buen número de técnicas conocidas para eludirlas, como SEHOP (“Structure Exception Handler Overwrite Protection“), HSA (“Heap Spray Allocation“), EAF (“Export Address Table Access Filtering“), NPA (“Null Page Allocation“) y BUR (“Bottom Up Randomization“).

La nueva versión 5.0, añade dos mitigaciones a las mencionadas. La nueva ASR (“Attack Surface Reduction“) proporciona un mecanismo para ayudar a bloquear, en determinadas condiciones, los módulos específicos o plug-ins incluidos dentro de una aplicación. Una excelente noticia, al ver una de las aplicaciones que puede tener. Es posible configurar EMET para evitar que el navegador cargue plug-ins Java de fuentes externas, mientras se sigue permitiendo el uso de Java en los sitios web de la intranet de una compañía.

La segunda mitigación añadida es EAF+ (“Export Address Table Filtering Plus“), que introduce dos nuevos métodos para ayudar a interrumpir ataques avanzados. Por ejemplo, EAF+ añade una nueva “página de protección” para evitar operaciones de lectura de memoria, comúnmente utilizadas en fugas de información para la construcción de exploits.

Con la nueva versión, muchas de las mitigaciones ROP están ahora disponibles para plataformas 64 bits: Hooks, Stack Pivot, Load Library y MemProt. Según Microsoft aun no han detectado exploit que hagan uso de técnicasROP para explotar aplicaciones 64 bits, sin embargo han extendido este tipo de mitigaciones para estar preparados para los tiempos futuros.

EMET 5.0 ofrece nuevas opciones en la interfaz de usuario para que los usuarios puedan configurar como aplicar cada mitigación a su entorno, teniendo en cuenta sus necesidades y requisitos. Por ejemplo, se puede configurar que direcciones de memoria específicas proteger con la mitigación “Heap Spray Allocation“).

Microsoft continua proporcionando valores predeterminados para la mayoría de las aplicaciones comúnmente empleadas por los usuarios.

Para ayudar a los administradores a implementar EMET, la nueva versión mejora la forma en que se gestionan los cambios de configuración a través de la red de una empresa. Se ha facilitado la propagación de cambios de configuración con las Directivas de Grupo en el Directorio Activo.

El nuevo Servicio Microsoft EMET también facilitará la monitorización del estado y de registros de cualquier actividad sospechosa. Con este nuevo servicio se pueden emplear procesos estándar como Server Manager Dashboard de Windows Server, para la monitorización.

Con EMET 5.0 se ha mejorado la gestión de “Certificados de Confianza“, para permitir a los usuarios activar una configuración, con el fin de bloquear la navegación a sitios web con certificados que no sean de confianza o fraudulentos, lo que podrá ayudar a proteger o evitar ataques de hombre en el medio.

una-al-dia (15/09/2011) Libro: “Máxima Seguridad en Windows: Secretos Técnicos” de Sergio de los Santos

una-al-dia (01/11/2011) Leyendo “Máxima Seguridad en Windows: Secretos Técnicos”

Máxima Seguridad en Windows: Secretos Técnicos. 2ª Edición revisada y ampliada

Antonio Ropero

Twitter: @aropero