Microsoft acaba de publicar la versión 3.0 de su herramienta Enhanced Mitigation Experience Toolkit, en adelante EMET, que está diseñado para bloquear posibles ataques que se puedan producir en un equipo que no esté correctamente actualizado o parcheado. Además Microsoft EMET protege contra malware, accesos no autorizados, vulnerabilidades, exploits, 0days, etc. dificultando la actividad de cualquier usuario malintencionado.
Fig 1. Microsoft EMET 3.0
EMET es gratuito, soporta arquitecturas de 32 y 64 bits, es compatible con versiones anteriores 2.1 (no con versiones 1.x) y ocupa apenas 11 Mb una vez que está instalado. Dispone de una configuración gráfica donde poder definir cómo proteger el sistema, ver qué procesos hay funcionando o añadir aplicaciones que protejer, así como decidir qué tipo de mitigación se utilizará de entre todas las opciones disponibles: DEP (Data Execution Prevention), SEHOP (Structured Exception Handler Overwrite Protection), ASRL (Address Space Layout Randomization), Null Page Allocation, Heapspray Allocations, EAF (Export Address Table Access Filtering) y Mandatory ASLR. En función del Sistema Operativo donde se instale EMET, permite utilizar una técnica de mitigación o todas. Por ejemplo, para Windows XP y 2003, SEHOP y ASRL no están soportadas pero sí para Windows 7 y 2008.
La configuración se ha mejorado y simplicado con un interfaz gáfico muy fácil de usar. Además, se inluyen plantillas en formato XML pre-configuradas para proteger aplicaciones como el propio Internet Explorer, Microsoft Office, Adobe Acrobat, etc. Y se mantiene aún la configuración por línea de comandos como en versiones anteriores:
c:\hacktimes\EMET\EMET_Conf --set \rutadondeestáinstalado\AcroRd32.exe -DEP: para activar todas las técnicas de mitigación menos DEP en la aplicación Adobe Acrobat Reader
Fig 2. Configuración de la protección de la aplicación Adobe Acrobat Reader desde el entorno gráfico
La integración y el despliegue de EMET desde herramientas corporativas también se ha mejorado pudiendo utilizar Microsoft SCCM (System Center Configuration Manager) o las políticas de grupo de Windows para instalarse y configurarse en cualquier entorno empresarial.
Se ha añadido "EMET Notifier" para dar mayor capacidad de reporte a la herramienta. Por defecto, una vez instalado EMET, se arranca automáticamente con cada inicio de Windows y coloca un icono en la barra de tareas fácilmente identificable con su logo que crea todo tipo de alertas en función de la configuración existente y que, incluso, es capaz de escribir eventos en el sistema de LOGs de Windows o "Event Viewer". Esta capacidad de reporte nueva se puede deshabilitar modificando el registro de Windows si se crea una nueva entrada del tipo DWORD denominada NotifierLogLevel y poniendo su valor a cero en la ruta "HKLM\SOFTWARE\Microsoft\EMET".
Más información en:
https://www.microsoft.com/en-us/download/details.aspx?id=29851: donde descargar EMET y ver las todas las novedades y funcionalidades de esta versión 3.0
Comentarios
Añadir comentario