EMET - Protezione anti-exploit avanzata per le applicazioni
 

Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5




Download v5.1



A COSA SERVE
A proteggere dagli exploit che colpiscono programmi vulnerabili ad attacchi di tipo memory corruption.

IN CHE MODO
Mettendo a disposizione dei processi speciali tecnologie che inibiscono il tentativo di prendere possesso delle sue risorse.


COSA E' QUINDI UN EXPLOIT?
Quel particolare meccanismo che, una volta sfruttato, porta all'infezione.

Idealmente, allora, abbiamo una situazione di questo tipo:
uno strumento vulnerabile ad un certo tipo di attacco (pensiamo ad un browser) e una pagina manipolata ad hoc che, appena aperta, è capace di infettare il PC in modo silente sfruttando proprio quella vulnerabilità.

Grazie al controllo di EMET sul processo vulnerabile, quest'ultimo resta tale fino al rilascio dell'apposita patch ma si spezza il meccanismo attorno al quale vive l'exploit impedendo generalmente che abbia successo.



F.A.Q.

1) Non è un Antivirus

2) E' compatibile con tutti i sistemi VISTA+ indipendentemente dalla loro architettura.

3) Non richiede manutenzione una volta settato.

4) Non impatta sulle performance se non in misura marginale.

5) Protegge di default una serie di programmi di uso comune considerati particolarmente sensibili al rischio exploit.

6) Permette di tarare a piacere le tecnologie di mitigazione native al sistema operativo.
(Non si corre pertanto il rischio di favorire la comparsa di BSoD anche là dove si dovesse optare per settaggi di sistema particolarmente restrittivi)

7) Proteggendo un'applicazione si proteggono anche i relativi plugin?
SI

*CONFIGURAZIONE DI BASE*

E' sufficiente portare a termine il processo di installazione avendo cura di selezionare l'apposita opzione che costruisce automaticamente una lista di quelle che sono le applicazioni considerate comunemente vittima di attacchi.


Nella fattispecie sono riconosciute come tali Internet Explorer, i moduli di Java/Office e poco altro.

Il programma agirà in maniera trasparente ponendo sotto il suo controllo i programmi in questione ogni volta che questi dovessero essere eseguiti.

Il LIMITE evidente di questa configurazione, allora, è che considera potenzialmente attaccabili solo un ventaglio molto ristretto di processi.



*CONFIGURAZIONE AVANZATA*

Per superare il limite evidenziato e visto che il tool si propone di proteggere un qualsiasi processo dal rischio exploit, la nostra attenzione si deve spostare anche sul resto dei software installati localmente.
L'obiettivo, infatti, è istruire il programma in modo tale ogni qual volta un particolare processo venga eseguito, questo funzioni sotto la supervisione di EMET.

Le operazioni da compiere per integrare la lista predefinita di applicazioni protette è sintetizzata sotto.

Terminata l'installazione avendo avuto cura di selezionare l'impostazione raccomandata,


è necessario optare anzitutto per una configurazione di sistema più rigida: menù a tendina → Maximum Security Settings


Gli effetti risultano immediatamente visibili:
i pulsanti infatti diventano verdi e viene richiesto il riavvio per applicare in modo permanente le nuove impostazioni.


Nonostante la segnalazione della necessità di un riavvio è possibile passare subito alla scheda che gestisce i processi che devono essere protetti dal tool.


La schermata che ci viene presentata risulta popolata da una serie di voci che, come abbiamo visto, è stata costruita in via automatica durante l'installazione.


Osservando allora l'elenco, ci rendiamo subito conto che sono esclusi elementi come Google Chrome e tanti altri che sono solitamente vittime di attacchi.

Aggiungerli risulta cmq operazione banale nel momento in cui se ne conosca il percorso.


Al termine dell'operazione è necessario riavviare il PC.
→



*IPOTESI DI UN PROGRAMMA "EMETIZZATO" CHE DOVESSE PRESENTARE PROBLEMI*

L'effetto è il vederlo terminare inaspettatamente.


Controllando però il popup generato, si ricava al volo quella che è la mitigazione imputata del malfunzionamento.


La cosa da fare, allora, è procedere alla disattivazione manuale della mitigazione in oggetto per il processo che non la digerisce (VLC nell'esempio).

.

Grazie mille, domani lo installo.
Ciao nipotino :)

Installato, per ora con impostazioni automatiche, poi vedrò piano piano.
Ciao :)

installato da quando ne hai fatto parola nell'altro thread.
ogni tanto da fastidio a Silverlight (o più probabilmente, è Silverlight a far cazzate) per il resto, finora, no problem.

tripletta UAC + Def + EMET .

sarei curioso di provarlo fisicamente su una macchina che venga poi infestata ad hoc.

Mi iscrivo,in download (ma è normale che il tempo stimato sia 25 minuti?)

Anch'io,al momento e utilizzando solo ie,userò le impostazioni di default.

Grazie nv25

Molto interessante, l'ho installato ma ho da chiedere una cosa...una volta aperto nella parte bassa si notano i processi attivi e sulla colonna di destra denominata "Running EMET" non c'è nulla, tranne che nei processi relativi ad IE, dove compare una flag verde.
Come mai compare solo con IE? Per i settaggi ho flaggato quelli raccomandati dal wizard

"Running EMET" è seguito dal flag verde...solo se il processo emetizzato è in esecuzione in quel preciso momento, in caso contrario...


Per toglierti ogni dubbio, prova a lanciare un qualsiasi altro eseguibile protetto di default e vedi cosa succede, ciao.

ES:
ipotizziamo che di default EMET protegga solo 2 eseguibili:
IE e Windows Media Player.

Se il 1° è in esecuzione mentre il 2° è chiuso ---> flag solo su IE
Se il 1° e il 2° sono in esecuzione ---> flag su entrambi
ecc..

Il problema infatti è che ad esempio con Chrome il flag non c'è e lo stesso era avviato, stessa cosa per WLMail. Presumo quindi abbia sbagliato qualcosa o non si sia installato correttamente.

La spiegazione, molto semplicemente, è che il programma di default non protegge quegli eseguibili (io la chiamo FASE 2).


In sostanza, quando uno installa EMET deve chiedersi una cosa:
sul PC sono installati esclusivamente i programmi elencati nella scheda Apps?

Nell'ipotesi allora in cui vi siano anche altri programmi oltre a quelli contemplati di default, qualcuno di questi è per caso "delicato"? (= interfacciandosi su contenuti ignoti, quindi potenzialmente pericolosi, può essere usato come leva per un attacco?)

Fatta questa considerazione, non si fa altro che aggiungere l'eseguibile incriminato in EMET cosi' che ogni volta che questo viene aperto risulti protetto..


Ma chi si interfaccia allora su contenuti potenzialmente pericolosi configurandosi quindi come "programma delicato"?
Gira e rigira i soliti strumenti.

I Browser (dunque non solo IE che è invece l'unico coperto di default da EMET), i lettori di contenuti multimediali (quindi non solo WMP come ci vorrebbe far credere EMET), IDEM per la parte Office.

Alla fine della fiera, da manipolare c'è realmente poco...

Infatti ora li ho configurati e il falg verde è comparso..

Grazie nv25

Da non conoscente di questo EMET, qualcuno sa dirmi come installarlo correttamente senza far danni? :)

.

Premetto che mi sono informato per ora poco sull'argomento. In ogni caso, funzionando, a quanto posso ipotizzare, come una sorta di "virtual box di sicurezza", in che misura è quantificabile l'impatto di EMET e dei software emetizzati sulle prestazioni generali del sistema (risorse CPU, RAM e disco), e l'impatto sulle performances dei singoli processi emetizzati?

dipende sempre dall'ambiente.

cliccami per uno dei soliti tanti benchmark

Molto interessante! :)

Appena installata, come l'avete configurato EMET? postate gentilmente le vostre configurazioni!! :D :D :D :D

non esistono configurazioni miracolose o esclusive per qualcuno.



Posto che a livello di sistema la configurazione di default è accettabile (anche perchè riflette le impostazioni decise in s eno alla MS per ogni dato sistema operativo), per capire quali processi debbano essere protetti oltre a quelli di default è sufficiente esaminare proprio la lista predefinita.

Se di default ad es. EMET protegge i processi di Office ma noi usiamo LibreOffice, proteggeremo i processi di LibreOffice :stordita:...

Se di default EMET protegge IE e Windows Media Player ma noi impieghiamo Opera & VLC, ne proteggeremo i relativi binari...


Non credo sia difficile da capire, no?

Molto interessante.
Thread aggiunto ad entrambi gli indici di sezione, 7 e 8 ;)
Titolo modificato.