He revisado el Enhanced Mitigation Experience Toolkit de Microsoft hace unos días aquí en Ghacks y he encontrado que es un excelente programa de seguridad. El software básicamente mitiga varias técnicas de explotación populares, convirtiéndolo en una eficaz herramienta de defensa de última línea cuando un PC que ejecuta Windows es atacado con vulnerabilidades que no se conocen o, al menos, no se han corregido todavía.
Lo que hace que EMET sea especial no sólo por las técnicas de mitigación del programa, sino también porque incluye una interfaz de programa fácil de usar. Incluso los usuarios sin experiencia pueden utilizar el programa para añadir protección adicional a su sistema, y aunque a veces pueden encontrarse con problemas, no es nada que no pueda solucionarse fácilmente con unos pocos clics del botón del ratón.
Hoy en día, Microsoft pone a disposición una versión preliminar de la tecnología de EMET 3.5 que incorpora una nueva técnica de mitigación de vulnerabilidades que mitiga los ataques de programación orientada al retorno (ROP, Return Oriented Programming). La siguiente definición ha sido tomada de Wikipedia.
La programación orientada a la devolución (también llamada “chunk-borrowing à la Krahmer”) es una técnica de exploit de seguridad informática en la que el atacante utiliza el control de la pila de llamadas para ejecutar indirectamente instrucciones de máquina seleccionadas o grupos de instrucciones de máquina inmediatamente antes de la instrucción de devolución en subrutinas dentro del código de programa existente, de una forma similar a la ejecución de un intérprete de código enhebrado.
Debido a que todas las instrucciones que se ejecutan son de áreas de memoria ejecutables dentro del programa original, esto evita la necesidad de inyección directa de código y elude la mayoría de las medidas que intentan evitar la ejecución de instrucciones desde la memoria controlada por el usuario.
La tecnología que Microsoft ha implementado en la vista previa de la tecnología fue presentada por uno de los concursantes del concurso BlueHat Price de la empresa. El equipo de EMET agregó cuatro chequeos al programa para ayudar a prevenir ataques usando técnicas ROP.
Índice de contenido
Instalación y uso
La Enhanced Mitigation Experience Toolkit 3.5 Tech Preview no se puede instalar en sistemas que ejecutan otras versiones de EMET. Se muestra un aviso en aquellos sistemas que informan a los usuarios que la versión actual necesita ser desinstalada antes de que se pueda instalar la vista previa de la tecnología. Dado que es una vista previa de la tecnología, no se recomienda instalarla en un entorno de trabajo productivo. También se recomienda exportar la configuración actual utilizando el menú de archivos para realizar copias de seguridad.
Cuando inicie EMET 3.5 por primera vez, notará que Microsoft ha añadido pestañas a la ventana de configuración de la aplicación. Todavía puede mostrar todas las técnicas de mitigación en una sola pestaña, o utilizar la memoria, ROP u otra pestaña para configurar características específicas.
Palabras de cierre
Microsoft parece muy dedicado cuando se trata de EMET y puede que sólo sea cuestión de tiempo antes de que el programa se integre en el sistema operativo Windows de una forma u otra. Por ahora, sin embargo, los usuarios de Windows necesitan descargarlo, ejecutarlo y configurarlo por separado. ¿Deberían hacerlo? Sí, definitivamente.
Anuncio