jueves, 16 de mayo de 2013

Fortificando Windows con EMET 3.5


Desde Microsoft se ha publicado la versión 3.5 del Kit de herramientas EMET (The Enhanced Mitigation Experience Toolkit) para prevenir la explotación de vulnerabilidades en el software complicando mucho el aprovechamiento de los bug´s.

Microsoft pone las cosas difíciles a los creadores de exploit´s con técnicas desarrolladas como DEP (Data Execution Prevention) incorporada desde el service pack 2 de windows XP, SEHOP (Structured Exception Handler Overwrite Protection) incorporado en Windows 2008, VISTA sp1, Windows 7, la protección ASLR (Address Space Layout Randomization) y la recien añadida ROP.

Quedan atrás esos años dorados cuando era relativamente sencillo explotar un fallo de seguridad en Windows XP. Esta claro que nada es invulnerable ya que se han publicado diversas técnicas para saltar estas protecciones.

En está de versión se ha incorporado una técnica experimental denominada ROP, ganadora del concurso BlueHat. Además incorpora una interfaz gráfica para la configuración de aplicaciones.

EMET trae consigo las siguientes protecciones:

  • Dynamic Data Execution Prevention (DEP) : previene la ejecución de código de páginas no marcadas expresamente como ejecutables

  • Structure Exception Handler Overwrite Protection (SEHOP): previene la explotación de desbordamientos de pila

  • Heapspray Allocations: bloquea el uso de las técnicas de Head Spray usadas por los exploits para copiar su shellcode a todas las direcciones de memoria posibles y que sea fácilmente accesible

  • Null page allocation: previene la resolución de una referencia a nulo en modo de usuario.

  • Mandatory Address Space Layout Randomization (ASLR): obliga a que los módulos de la aplicación se cargen en direcciones de memoria aleatorias para evitar que se pueda acceder fácilmente a sus funciones

  • Export Address Table Access Filtering (EAF): evita la ejecución de shellcode impidiendo que acceda a la API de Windows

  • Bottom-up randomization: mitigación de ataques que genera de forma aleatoria (con 8 bits de entropía) la direción base de las posiciones de memoria “bottom-up”(incluyendo pila (Stack), memoría dinámica (Heap) y otras posiciones de memoria)

  • ROP mitigations

    - LoadLib

    -StackPivot

    -MemProt

    -SimExecFlow

    -Caller

Podéis descargaros EMET desde el siguiente enlace y aconsejo leerse el manual que trae consigo, donde se explican las diferentes protecciones así como algunos enlaces que amplian la información.

https://www.microsoft.com/en-us/download/details.aspx?id=30424

Fuente:http://dominiohacker.com/fortificando-windows-con-emet-3-5-456/

No hay comentarios:

Publicar un comentario