EMET v4

EMET v4

  • Comments 1
  • Likes

Powszechnie uważa się, że nie istnieje oprogramowanie, w którym nie ma błędów. Choć to mocno uproszczony sposób patrzenia na świat, to zwraca uwagę na ważną rzecz: fakt, że nie wiemy o jakimś błędzie, wcale nie oznacza, że go nie ma. Jeżeli błąd dotyczy krzywego drukowania tabelek na sto siedemnastej stronie dokumentu – nie musimy zwykle nadmiernie się nim przejmować. Jeżeli jednak wiąże się on z zagrożeniem bezpieczeństwa, to prędzej czy później, fakt jego wykrycia sprawi, że ktoś pokusi się o utworzenie exploita – potencjalnie skutecznej metody ataku mającego na celu uzyskanie w systemie jakichś nienależnych uprawnień. Kończy się to różnie: od dokumentu PDF, który "wywraca" aplikację mającą go wyświetlić, po przejęcie pełnej kontroli nad systemem w wyniku wejścia na jakąś zupełnie niepozornie (albo wręcz przeciwnie) wyglądającą stronę internetową.

I tu pojawia się oczywiste pytanie: jak się bronić przed takimi atakami?

Generalnie przyjmuje się, że aktualizacja oprogramowania (wszelkiego, nie tylko systemu) jest tym, co powinno zmniejszyć ryzyko do poziomu akceptowalnego przez typowego użytkownika. Zazwyczaj, skoro pojawia się błąd, pojawia się i poprawka i nawet skuteczna dotąd metoda ataku przestaje działać. Problem tylko w tym, że zdarza się, że skuteczna metoda ataku istnieje w przyrodzie zanim pojawi się poprawka. Nie jest to częste, bo najpierw trzeba znaleźć niezałataną usterkę a potem opracować proof of concept i stworzyć exploit. Ze względu na potencjalne korzyści dla sił Ciemnej Strony Mocy, exploit taki (określany zwykle jako 0day) ma ogromną wartość, dochodzącą na czarnym rynku do setek tysięcy dolarów. Skoro istnieje wymierna finansowa korzyść ze skutecznego ataku, to istnieje popyt na exploity. Takie czasy... Warto jednak zdawać sobie sprawę z realnego ryzyka. Jeżeli ktoś posiada narzędzie warte majątek – prawdopodobnie będzie używał go z rozwagą. Zaatakowanie miliona przypadkowych komputerów w Internecie jest kuszące, ale zwiększa prawdopodobieństwo, że ktoś taki atak wykryje i przeanalizuje. Nie dość, że sam będzie mógł się zabezpieczyć, to jeszcze pewnie prędzej czy później poinformuje MSRC albo inną ekipę działającą po stronie tych dobrych. W efekcie, wkrótce powstanie poprawka, która posiadaczowi exploita 0day odbierze całą przewagę nad resztą świata. Można więc przyjąć, że konkretny komputer zostanie zaatakowany raczej w sytuacji, gdy dla atakującego, korzyści z ataku będą wyższe niż poniesione koszty.

A co, jeżeli moje dane są naprawdę cenne? Co jeżeli, to właśnie ja mam pecha i na mnie zostanie skierowany atak? Wtedy pojawia się poważniejszy problem, ale nie pozostajemy bezbronni. Mamy szanse na obronę dlatego, że mimo pozornej różnorodności większość współczesnych ataków (również tych 0day) w środku używa praktycznie tych samych technik. Wiedząc to, możemy próbować zastosować jedną z metod przeciwdziałania takich, jak:

Warto też wspomnieć o technikach aktywnie przeciwdziałających współczesnym mechanizmom stosowanym w malware. Nie zabezpieczają one systemu bezpośrednio, jednak sprawiają, że udany atak jest dodatkowo utrudniony:

  • EAF – Export Address Table Access Filtering
  • Heapspray Allocations

Tyle teorii. Tylko jak zastosować ją w praktyce typowego profesjonalisty IT, który niekoniecznie chce wiedzieć co się dzieje na stosie czy w chronionych obszarach pamięci? I tu z pomocą przychodzi tytułowy EMET czyli Enhanced Mitigation Experience Toolkit. Rozwijany od wielu lat pakiet oprogramowania Microsoftu, który nadal istnieje w wersji Beta, jednak wyraźnie dojrzewa do postaci dającej się na poważnie zastosować w skali dużej sieci, nawet zawierającej muzealne Windowsy XP. Wersja oznaczona numerem 4 właśnie pojawiła się na portalach Microsoft i zdecydowanie warto przyjrzeć jej się bliżej.

Autor: Grzegorz Tworek [MVP]

Comments
  • Cudo :) cos w stylu teraz ekipy z malwarebytes ale tam tez w wersji beta i to rozwiazanie z ms emet jest lepsze od tamtego wiec microsoft do przodu jest ;)

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment