EMET
(Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de
mitigación mejorada) es una gran utilidad para mitigar la explotación de vulnerabilidades
mediante la inclusión de capas de protección adicionales. Microsoft acaba de anunciar la publicación de la nueva versión EMET 5.0 con dos nuevas medidas de
mitigación y funcionalidades para dar a los usuarios una mayor flexibilidad en
la implementación y configuración.
En una-al-día hemos mencionado
frecuentemente EMET 3.0 y EMET 4.0 como contramedida para gran parte de las vulnerabilidades
que se anuncian, especialmente indicado y recomendado para las de 0-day. EMET
es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo
de manejar y de gran utilidad.
Básicamente, Enhanced Mitigation
Experience Toolkit es un programa para forzar el uso de DEP y ASLR en todos los
procesos y programas, pero además previene de las técnicas habitualmente empleadas
por los exploits para eludir estas medidas. Una buena explicación del uso,
configuración y posibilidades de EMET se puede encontrar en
el libro "
Máxima
seguridad en Windows: Secretos técnicos" de nuestro antiguo
compañero Sergio de los Santos.
Dos nuevas mitigaciones
Además de ASLR y DEP, EMET añade
protección contra un buen número de técnicas conocidas para eludirlas, como
SEHOP ("Structure Exception Handler
Overwrite Protection"), HSA ("Heap
Spray Allocation"), EAF ("Export
Address Table Access Filtering"), NPA ("Null Page Allocation") y BUR ("Bottom Up Randomization").
La nueva versión 5.0, añade dos mitigaciones
a las mencionadas. La nueva ASR ("
Attack
Surface Reduction") proporciona un mecanismo para ayudar a bloquear,
en determinadas condiciones, los módulos específicos o plug-ins incluidos dentro
de una aplicación. Una excelente noticia, al ver una de las aplicaciones que
puede tener. Es posible configurar EMET para evitar que el navegador cargue plug-ins
Java de fuentes externas, mientras se sigue permitiendo el uso de Java en los
sitios web de la intranet de una compañía.
La segunda mitigación añadida es
EAF+ ("Export Address Table Filtering Plus"), que introduce dos nuevos
métodos para ayudar a interrumpir ataques avanzados. Por ejemplo, EAF+ añade
una nueva "página de protección" para evitar operaciones de lectura
de memoria, comúnmente utilizadas en fugas de información para la construcción
de exploits.
Nuevas opciones de configuración
EMET 5.0 ofrece nuevas opciones en la interfaz de usuario para que
los usuarios puedan configurar como aplicar cada mitigación a su entorno,
teniendo en cuenta sus necesidades y requisitos. Por ejemplo, se puede
configurar que direcciones de memoria específicas proteger con la mitigación "Heap Spray Allocation").
Microsoft continua proporcionando
valores predeterminados para la mayoría de las aplicaciones comúnmente empleadas
por los usuarios.
Para ayudar a los administradores
a implementar EMET, la nueva versión mejora la forma en que se gestionan los
cambios de configuración a través de la red de una empresa. Se ha facilitado la
propagación de cambios de configuración con las Directivas de Grupo en el
Directorio Activo.
El nuevo Servicio Microsoft EMET
también facilitará la monitorización del estado y de registros de cualquier
actividad sospechosa. Con este nuevo servicio se pueden emplear procesos estándar
como Server Manager Dashboard de Windows Server, para la monitorización.
Con EMET 5.0 se ha mejorado la gestión
de "Certificados de Confianza",
para permitir a los usuarios activar una configuración, con el fin de bloquear
la navegación a sitios web con certificados que no sean de confianza o
fraudulentos, lo que podrá ayudar a proteger o evitar ataques de hombre en el
medio.
EMET 5.0 está disponible para descarga desde:
Más información:
General Availability for Enhanced Mitigation
Experience Toolkit (EMET) 5.0
Enhanced Mitigation Experience Toolkit
Announcing EMET 5.0
Descarga EMET 5.0
una-al-dia (15/09/2011) Libro:
"Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los
Santos
una-al-dia (01/11/2011) Leyendo
"Máxima Seguridad en Windows: Secretos Técnicos"
Máxima Seguridad en Windows:
Secretos Técnicos. 2ª Edición revisada y ampliada
Antonio Ropero
