Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

Rilasciato EMET 4 Beta

Rilasciato EMET 4 Beta

  • Comments 2
  • Likes

Oggi è stato rilasciato l’Enhanced Mitigation Experience Toolkit (EMET) 4.0 Beta. Per chi non conoscesse EMET, è un software gratuito che aiuta a prevenire lo sfruttamento di vulnerabilità che cercano di eseguire codice arbitrario tramite memory corruption. EMET fornisce questa funzionalità aggiungendo ulteriori mitigation, oltre a quelle già presenti nel sistema operativo, alle applicazioni per il quale è configurato. Il risultato è che queste applicazioni diventano più resistenti agli attacchi, anche quelli che cercano di sfruttare vulnerabilità 0day e vulnerabilità per le quali non è stata ancora applicata una patch.

EMET è cresciuto molto negli ultimi mesi, ed è ora uno dei software obbligatori sui desktop Windows 8 del Department of Defense americano. È infatti parte della Security Technical Implementation Guide (STIG), una metodologia sviluppata dalla Defense Information Systems Agency per standardizzare l’installazione sicura del software, relativa a Windows 8.

Come ho già scritto in alcuni post precedenti, lavoro su questo progetto da diversi mesi, quindi questa release mi sta particolarmente a cuore :)

Questa nuova versione di EMET include nuove feature e mitigation che lo rendono più efficace e facile da usare e gestire.

Certificate Trust

In EMET 4.0 viene introdotta una funzionalità che permette di configurare un set di regole per rendere la validazione dei certificati SSL e TLS più robusta mentre si naviga con Internet Explorer. È infatti possibile specificare una lista di siti web ed associare il loro certificato SSL ad una o più Root Certificate Authority (Root CA). Se EMET rileva che il certificato analizzato non è stato emesso dalla Root CA pre-configurata riporterà l’incongruenza, in quanto è possibile che sia in corso un attacco di tipo Man in the Middle. Una volta installato EMET, una lista predefinita di siti web verrà configurata automaticamente. Le regole predefinite coprono i principali servizi Microsoft: i portali d'autenticazione di Microsoft Account, di Office 365 e di Skype. Gli utenti possono comunque modificare ed ampliare questa lista a seconda delle proprie esigenze.

Hardening delle mitigation correnti

Durante la fase “Technical Previe" di EMET 3.5 – la precedente versione beta – molti ricercatori hanno individuato alcune tecniche che permettono di bypassare le mitigation anti-ROP di EMET. Con EMET 4.0 abbiamo migliorato queste mitigation e bloccato queste tecniche aggiungendo ulteriori controlli alle funzioni che venivano abusate per il bypass.

Bugfix relative alla compatibilità con alcune applicazioni

Chi ha usato EMET finora ha incontrato alcuni casi in cui specifiche mitigation di EMET generavano incompatibilità con alcune applicazioni. EMET 4.0 corregge tutte queste incompatibilità allo scopo di migliorare l’esperienza dell’utente e ridurre i falsi positivi.

Early Warning Program

Quando un tentativo di attacco viene rilevato e bloccato da EMET, vengono collezionate una serie di informazioni e trasmesse a Microsoft tramite la funzionalità di Microsoft Error Reporting (MER). Queste informazioni saranno utilizzate per individuare nuovi 0day e ci permetteranno di rispondere in tempi rapidi, cominciando a lavorare su una patch prima che gli exploit diventino pubblici o utilizzati su larga scala.

In ambienti enterprise che utilizzano funzionalità come Microsoft Desktop Optimization Package o Client Monitoring di System Center Operations Manager, queste informazioni verranno trasmesse sistemi on-premise all'interno della rete, e potranno essere utilizzate dagli amministratori per individuare potenziali attacchi ai sistemi monitorati.

Questa feature è abilitata di default in questa versione beta di EMET, è sarà possibile disabilitarla sia tramite l’interfaccia grafica di configurazione sia tramite l’utility a riga di comando. L’EMET Privacy Statement fornisce maggiori informazioni sul tipo di dati che vengono raccolti e come questi dati vengono trattati.

Audit Mode

Questa nuova feature permette di configurare EMET in “Audit Mode”. In genere, quando EMET identifica e blocca un attacco, l’applicazione che sta subendo l’attacco è terminata. Se l'Audit Mode è abilitato, EMET identificherà l’attacco ma non forzerà l’arresto dell’applicazione. L’Audit Mode è utile nei casi in cui si stia testando EMET su sistemi in produzione con lo scopo di monitorare il suo funzionamento e verificare che non ci siano problemi di compatibilità. Questa modalità non è compatibile con tutte le mitigation, ma è disponibile laddove possibile.

Una volta installato EMET 4.0 beta verrà configurato automaticamente per monitorare e proteggere Internet Explorer – e i vari controlli ActiveX che vengono utilizzati, Microsoft Office, Adobe Acrobat/Reader, e Java. Inoltre, come già detto in precedenza, verranno applicate regole di SSL/TLS certificate pinning per i principali servizi Microsoft.

Maggiori dettagli su come configurare EMET e su tutte le nuove feature sono disponibili nella User Guide disponibile all’interno del pacchetto d’installazione.

In attesa della versione finale di EMET 4.0 prevista per il 14 Maggio, l’invito per tutti è quindi di installare EMET 4.0 Beta e provarlo. Nel caso aveste qualsiasi tipo di domanda o feedback, o trovaste incompatibilità o bug, potete contattare me direttamente o potete mandare una email all’indirizzo emet_feedback@microsoft.com.

Gerardo Di Giacomo
Security Program Manager - MSRC

Comments
  • ho aspettato con ansia questa versione in particolare per il discorso del supporto ufficiale ad 8 e devo constatare con piacere che questa funziono, al di là di qualche bug "cosmetico", funziona decisamente bene.

  • chissà perchè mi è venuto scritto "funziono" quando invece volevo scrivere "release"...

    Misteri della psiche..o età?

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment