EMET (Enhanced Mitigation Experience Toolkit o kit de
herramientas de experiencia de mitigación mejorada) es una gran utilidad para
mitigar la explotación de vulnerabilidades mediante la inclusión de capas de
protección adicionales. Microsoft acaba de anunciar la publicación de la nueva
versión EMET 5.0 con dos nuevas medidas de mitigación y funcionalidades para
dar a los usuarios una mayor flexibilidad en la implementación y configuración.
EMET es un programa de Microsoft gratuito, (solo
disponible en lenguaje ingles) sencillo de manejar y de gran utilidad.
Básicamente,
Enhanced Mitigation Experience Toolkit es un programa para forzar el uso de DEP
y ASLR en todos los procesos y programas, pero además previene de las técnicas
habitualmente empleadas por los exploits para eludir estas medidas.
Dos
nuevas mitigaciones
· Además
de ASLR y DEP, EMET añade protección contra un buen número de técnicas
conocidas para eludirlas, como SEHOP ("Structure Exception Handler
Overwrite Protection"), HSA ("Heap Spray Allocation"), EAF
("Export Address Table Access Filtering"), NPA ("Null Page
Allocation") y BUR ("Bottom Up Randomization").
· Con
la nueva versión, muchas de las mitigaciones ROP están ahora disponibles para
plataformas 64 bits: Hooks, Stack Pivot, Load Library y MemProt. Según
Microsoft aun no han detectado exploit que hagan uso de técnicasROP para
explotar aplicaciones 64 bits, sin embargo han extendido este tipo de
mitigaciones para estar preparados para los tiempos futuros.
Nuevas
opciones de configuración
· EMET
5.0 ofrece nuevas opciones en la interfaz de usuario para que los usuarios
puedan configurar como aplicar cada mitigación a su entorno, teniendo en cuenta
sus necesidades y requisitos. Por ejemplo, se puede configurar que direcciones
de memoria específicas proteger con la mitigación "Heap Spray
Allocation").
· Microsoft
continua proporcionando valores predeterminados para la mayoría de las
aplicaciones comúnmente empleadas por los usuarios.
·
Para
ayudar a los administradores a implementar EMET, la nueva versión mejora la
forma en que se gestionan los cambios de configuración a través de la red de
una empresa. Se ha facilitado la propagación de cambios de configuración con
las Directivas de Grupo en el Directorio Activo.
· El
nuevo Servicio Microsoft EMET también facilitará la monitorización del estado y
de registros de cualquier actividad sospechosa. Con este nuevo servicio se
pueden emplear procesos estándar como Server Manager Dashboard de Windows
Server, para la monitorización.
· Con
EMET 5.0 se ha mejorado la gestión de "Certificados de Confianza",
para permitir a los usuarios activar una configuración, con el fin de bloquear
la navegación a sitios web con certificados que no sean de confianza o
fraudulentos, lo que podrá ayudar a proteger o evitar ataques de hombre en el
medio.
DESCARGAR
- EMET
5.0 está disponible para descarga desde http://www.microsoft.com/downloads/details.aspx?FamilyID=5854d7e6-0003-4e3c-b71d-f169e1dadaf1
Más información:
- una-al-dia
(01/08/2014) http://unaaldia.hispasec.com/2014/08/microsoft-publica-emet-50.html