EMET – Enhanced Mitigation Experience Toolkit

Enhanced Mitigation Experience Toolkit es una herramienta gratuita que implanta medidas de seguridad en las aplicaciones sin necesidad de ser compiladas de nuevo.

Introducci贸n

Existen aplicaciones que no pueden ser actualizadas para incorporar las nuevas medidas de seguridad (DEP, ASLR, etc) implantadas en los nuevos sistemas operativos de Microsoft para mitigar los ataques externos o de empleados malintencionados. Las razones para no hacerlo pueden ser varias:
– Se ejecutan en sistemas operativos Windows antiguos que no incorporan estas medidas.
– No se dispone de los recursos necesarios para modificar la aplicaci贸n.
– Es una aplicaci贸n de terceros.
– No se dispone del c贸digo fuente.
– Cuestiones legales lo impiden.

Una manera de incorporar los nuevos mecanismos de protecci贸n en este tipo de aplicaciones es mediante la herramienta EMET, de la que Microsoft ha publicado recientemente la segunda versi贸n.

EMET

Es una herramienta orientada principalmente a proteger aplicaciones que se encuentren en ordenadores o servidores expuestos como por ejemplo aplicaciones de negocio en servidores de backend o navegadores en entornos cr铆ticos.
Respecto a la versi贸n anterior, su granularidad es mayor, ya que las medidas de seguridad pueden ser aplicadas a una aplicaci贸n o a un proceso particular. Tambi茅n, incorpora un nuevo interfaz gr谩fico.

Se recomienda que antes de implantar esta utilidad, se compruebe que no interfiere en el funcionamiento de la aplicaci贸n que protege. Una vez aplicada, su presencia es transparente para el usuario

Medidas de protecci贸n incorporadas en EMET

La nueva versi贸n de la herramienta incorpora las siguientes medidas de seguridad:
– Control de acceso a la tabla de direcciones (Export Address Table Access Filtering): evita la ejecuci贸n de shellcode impidiendo que acceda a la API de Windows.
– Selecci贸n aleatoria de carga de espacios de direcciones (Mandatory Address Space Layout Randomization): obliga a que los m贸dulos de la aplicaci贸n se cargen en direcciones de memoria aleatorias para evitar que se pueda acceder f谩cilmente a sus funciones.

Las medidas anteriores se incorporan a las ya presentes en la antigua versi贸n:

Dynamic Data Execution Prevention (DEP): previene la ejecuci贸n de c贸digo de p谩ginas no marcadas expresamente como ejecutables.
Structure Exception Handler Overwrite Protection (SEHOP): previene la explotaci贸n de desbordamientos de pila.
Heap Spray Allocation: bloquea el uso de las t茅cnicas de Head Spray usadas por los exploits para copiar su shellcode a todas las direcciones de memoria posibles y que sea f谩cilmente accesible.
Null Page Allocation: previene la resoluci贸n de una referencia a nulo en modo de usuario.

Descarga

Share

This entry was posted in tools. Bookmark the permalink.

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *

Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.