EMET va scapa de exploiturile 0-day

5

Toata lumea doreste sa se protejeze de atacurile bazate pe vulnerabilitatile aplicatiilor. Un soft precum Secunia PSI este necesar, dar
nu suficient. In caz ca un update nu este disponibil, practic, nu ai ce face decat sa renunti la folosirea aplicatiei pana un update va fi lansat. Aici ne vine in ajutor Microsoft, si anume cu programul EMET, ajuns la versiunea 2.0. EMET este un acronim pentru Enhanced Mitigation Experience Toolkit, un program care iti protejeaza aplicatiile folosite de posibile exploituri 0-day, printre care si exploiturile 0-day aparute in Adobe Acrobat/Reader.

Cu ce ne ajuta EMET?

Ne ofera posibilitatea de a activa DEP (Data Execution Prevention), ASLR (Address Space Layout Randomization), SEHOP (Structured Exception Handling Overwrite Protection) si EAF (Export Address Table Access Filtering) aplicatiilor pe care le folosim.
Toate aceste protectii au rolul de a impiedica exploatarea cu succes a unei vulnerabilitati. In plus, ofera si protectia impotriva exploiturilor de tip HeapSpray sau NULL Page (o denumire mai comuna fiind NULL pointer dereference).

Interfata programului este una simpla, oferind un tabel cu procesele care ruleaza, de asemenea, specificand care dintre ele sunt protejate de EMET, si care au DEP activat. Avem doua posibilitati pentru protejarea aplicatiilor. Una globala, care face modificarea asupra tuturor aplicatiilor. Modificarea se poate face prin „Configure System”, buton ce ne afiseaza o interfata din care putem configura sistemul.

Aici putem opta pentru a forta toate aplicatiile sa foloseasca DEP (nu este recomandat), sau sa le lasam asa cum sunt (DEP activ sau nu). ASLR si SEHOP nu pot fi fortate, ele putand fi doar dezactivate sau pot folosi optiunea implicita de care beneficiaza aplicatia. Cel mai bine este ca configuratia sa ramana pe „Recommended Security Settings”.
Desigur, putem configura aplicatiile pe care dorim sa protejam si ce tip de protectie sa le oferim. Acest lucru il putem face prin „Configure Apps”, buton ce ne afiseaza o interfata cu programele protejate, protectiile activate pentru fiecare dintre ele. Putem adauga si sterge orice aplicatie, cand dorim.

Aici putem adauga toate programele problematice, mai ales cele care pot fi exploatate de la distanta, doar o mica interactiune din partea victimei fiind necesara.
Exista posibilitatea ca unele aplicatii sa nu mai functioneze din cauza protectiilor, in cazul acesta dezactivati protectia (daca totusi nu vreti sa dezactivati total protectia, incercati pe rand sa dezactivati toate protectiile pana o gasiti pe cea care cauzeaza probleme).
De retinut este ca, in cazul unei setari globale pe „Maximum Security Settings” este posibil ca sa apara probleme la nivel de sistem de operare (e.g. BSOD).

EMET suporta urmatoarele sisteme de operare

  • Windows XP service pack 3 and above
  • Windows Vista service pack 1 and above
  • Windows 7 all service packs
  • Windows Server 2003 service pack 1 and above
  • Windows Server 2008 all service packs
  • Windows Server 2008 R2 all service packs

Nu pe toate sistemele de operare functioneaza intreaga gama de protectii:

EMET 2.0 este oferit de Microsoft, gratuit. Aici este adresa catre pagina Microsoft care permite descarcarea programului.

Etichete:

— Petre Alexandru Popescu a scris 5 articole

Contact | sirgod08[at]gmail[at]com | @sirgod – Sirgodvl Ma numesc Popescu Petre Alexandru, sunt pasionat de IT, in special de securitate. Scriu ocazional articole pentru worldit.info pentru ca aceasta comunitate este superioara multor altor site-uri de profil din Romania.

5 Comentarii

  1. Prisacaru Anatolie spune:
    septembrie 16, 2010 la 8:54 pm

    „Ne ofera posibilitatea de a activa DEP (Data Execution Prevention), ASLR (Address Space Layout Randomization), SEHOP (Structured Exception Handling Overwrite Protection) si EAF (Export Address Table Access Filtering) aplicatiilor pe care le folosim.
    Toate aceste protectii au rolul de a impiedica exploatarea cu succes a unei vulnerabilitati. In plus, ofera si protectia impotriva exploiturilor de tip HeapSpray sau NULL Page (o denumire mai comuna fiind NULL pointer dereference).”

    In afara de browsere, messengere si firewall-uri/antivirusi unde ar mai fi oare recomandat sa il activam? Si chiar nu-i vad mare folos… doar daca e o companie mare. Si chiar daca e compania mare… sa foloseasca MAC 😀

  2. SirGod spune:
    septembrie 16, 2010 la 10:23 pm

    Atunci probabil nu stii ce implica exploatarea unor vulnerabilitati. La ce anume se poate ajunge. Mi se pare aiurea sa folosesti programul asta pentru antivirus si firewall.

  3. Prisacaru Anatolie spune:
    septembrie 19, 2010 la 2:40 pm

    @SirGod: Dupa parerea mea ar trebui activat pentru antivirus si firewall pentru ca virusii sa nu foloseasca unele vulnerabilitati prin care ar putea inchide/trece peste aceste programe. Prin browser trec cele mai importante informatii, deaceea ii vad si acolo rostul. Messenger-ele sunt si ele o potentiala sursa de informatii. Daca nu am dreptate, lumineaza-ma : )

  4. SirGod spune:
    septembrie 19, 2010 la 4:09 pm

    Da, inteleg ce vrei sa spui, dar lucruri ca astea sunt rare. Si nu cred ca este foarte indicat sa il folosesti pe antivirus/firewall din cauza ca ar putea intr-un anume fel sa il faca defectuos, sa nu mearga totul cum trebuie (sa nu se mai updateze sau mai stiu eu ce), etc. Iar messengerul nu este o mare sursa de vulnerabilitati. Browserele/pluginurile si file-readerele (word, excel, pdf, etc) sunt tintele principale.

  5. EMET (The Enhanced Mitigation Experience Toolkit) spune:
    decembrie 26, 2010 la 2:29 pm

    […] P.S. Despre EMET si sansa de scapa de exploit-urile de tip 0-day s-a mai scris pe worldit.info. […]