Hardware Upgrade Forum - View Single Post

nV 25 · 17-06-2013, 22:05

Download

-------------------------

EMET è uno strumento concepito per rendere più difficile il tentativo di accesso non autorizzato al sistema mediante l'impiego di speciali tecnologie di mitigazione pensate per ostacolare lo sfruttamento di vulnerabilità presenti nei programmi.

Un exploit, infatti, è definibile come lo sfruttamento di qualcosa per trarre un vantaggio, nel nostro caso l'esecuzione di un payload arbitrario sfruttando un bug in un programma che permetta di controllare lo scorrimento del codice in modo tale che il payload stesso possa essere eseguito.

Il tool opera su 2 livelli consentendo di definire politiche che impattano sull'intero sistema nonchè politiche che riguardano la singola applicazione.
In quest'ultimo caso, le mitigazioni supportate a livello di processo sono regolabili in maniera indipendente e senza che gli effetti si ripercuotano su altri processi.

L'approccio seguito da EMET, inoltre, è di tipo preventivo, teso cioè ad impedire completamente l'esecuzione dello shellcode.

Schema delle tecnologie messe a disposizione dal tool a partire da Vista +:

-------------------------

Set-Up

Per aiutare chi dovesse affacciarsi per la prima volta a questo programma, a partire da questa versione il processo di Set-up prevede uno strumento di configurazione (rappresentato nell'immagine successiva) nel quale viene chiesto all'utente di scegliere se optare o meno per la configurazione raccomandata.

Effettuata pertanto la scelta, si finalizza il processo di installazione e si rende necessario aprire l'interfaccia del programma per prendere consapevolezza della sua struttura nonchè per poter "emetizzare" i processi forzandoli all'uso delle mitigazioni rese disponibili dal tool cosi' da attenuarne la superficie di rischio.

Interfaccia + impostazioni di default per 7 e 8:

La prima cosa che balza sicuramente all'attenzione è il quadro relativo alle impostazioni di sistema dal quale è possibile governare le mitigazioni che hanno un impatto diretto su tutta la macchina.

I sistemi operativi moderni, infatti, incorporano già tecnologie come DEP/ASLR senza tuttavia permettere alterazioni alle impostazione di default (opt-in).
EMET, pertanto, risolve questa lacuna consentendo un controllo granulare sulle singole mitigazioni di sistema che è operabile percorrendo 2 strade:
la 1° passante per il quadro comandi System Status dove, agendo sul menù a tendina collegato ad ogni singola mitigazione, è possibile impostare il grado di settaggio desiderato.
La 2°, invece, per l'uso del set predefinito di regole che ricadono nel quadro "Quick Profile Name",

A livello di sistema, le impostazioni raccomandate sono sicuramente adeguate per cui innalzarne il livello può risultare eccessivo.

----------------------

Impostazioni possibili a livello di sistema:

----------------------

Oltre alla possibilità di intervenire sulle mitigazioni di sistema, EMET ammette anche la possibilità di proteggere singoli processi forzandoli all'uso di un ventaglio più ampio di tecnologie anti-exploit.

Per emetizzare il processo desiderato, il canale è rappresentato dal simbolo Apps

che apre a sua volta una nuova schermata rappresentata sinteticamente dall'immagine sottostante.

A questo punto è sufficiente agire sul pulsante Add Application per inserire manualmente nella lista le applicazioni che si desidera emetizzare.

I processi a 64bit, cmq, non beneficiano dell'intero set di mitigazioni come mostrato anche dall'immagine successiva...

La versione 4, peraltro, introduce nuove tecnologie tese a rafforzare le mitigazioni ROP chiudendo di conseguenza i canali sfruttati per bypassale.

Nel caso pertanto in cui EMET intercetti un'anomalia in essere sui processi emetizzati, stoppa automaticamente il processo e restituisce un pop-up di allarme,

17-06-2013, 22:05	#1
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	EMET 4: Exploit Prevention Download ------------------------- EMET è uno strumento concepito per rendere più difficile il tentativo di accesso non autorizzato al sistema mediante l'impiego di speciali tecnologie di mitigazione pensate per ostacolare lo sfruttamento di vulnerabilità presenti nei programmi. Un exploit, infatti, è definibile come lo sfruttamento di qualcosa per trarre un vantaggio, nel nostro caso l'esecuzione di un payload arbitrario sfruttando un bug in un programma che permetta di controllare lo scorrimento del codice in modo tale che il payload stesso possa essere eseguito. Il tool opera su 2 livelli consentendo di definire politiche che impattano sull'intero sistema nonchè politiche che riguardano la singola applicazione. In quest'ultimo caso, le mitigazioni supportate a livello di processo sono regolabili in maniera indipendente e senza che gli effetti si ripercuotano su altri processi. L'approccio seguito da EMET, inoltre, è di tipo preventivo, teso cioè ad impedire completamente l'esecuzione dello shellcode. Schema delle tecnologie messe a disposizione dal tool a partire da Vista +: ------------------------- Set-Up Per aiutare chi dovesse affacciarsi per la prima volta a questo programma, a partire da questa versione il processo di Set-up prevede uno strumento di configurazione (rappresentato nell'immagine successiva) nel quale viene chiesto all'utente di scegliere se optare o meno per la configurazione raccomandata. Effettuata pertanto la scelta, si finalizza il processo di installazione e si rende necessario aprire l'interfaccia del programma per prendere consapevolezza della sua struttura nonchè per poter "emetizzare" i processi forzandoli all'uso delle mitigazioni rese disponibili dal tool cosi' da attenuarne la superficie di rischio. Interfaccia + impostazioni di default per 7 e 8: La prima cosa che balza sicuramente all'attenzione è il quadro relativo alle impostazioni di sistema dal quale è possibile governare le mitigazioni che hanno un impatto diretto su tutta la macchina. I sistemi operativi moderni, infatti, incorporano già tecnologie come DEP/ASLR senza tuttavia permettere alterazioni alle impostazione di default (opt-in). EMET, pertanto, risolve questa lacuna consentendo un controllo granulare sulle singole mitigazioni di sistema che è operabile percorrendo 2 strade: la 1° passante per il quadro comandi System Status dove, agendo sul menù a tendina collegato ad ogni singola mitigazione, è possibile impostare il grado di settaggio desiderato. La 2°, invece, per l'uso del set predefinito di regole che ricadono nel quadro "Quick Profile Name", A livello di sistema, le impostazioni raccomandate sono sicuramente adeguate per cui innalzarne il livello può risultare eccessivo. ---------------------- Impostazioni possibili a livello di sistema: ---------------------- Oltre alla possibilità di intervenire sulle mitigazioni di sistema, EMET ammette anche la possibilità di proteggere singoli processi forzandoli all'uso di un ventaglio più ampio di tecnologie anti-exploit. Per emetizzare il processo desiderato, il canale è rappresentato dal simbolo Apps che apre a sua volta una nuova schermata rappresentata sinteticamente dall'immagine sottostante. A questo punto è sufficiente agire sul pulsante Add Application per inserire manualmente nella lista le applicazioni che si desidera emetizzare. I processi a 64bit, cmq, non beneficiano dell'intero set di mitigazioni come mostrato anche dall'immagine successiva... La versione 4, peraltro, introduce nuove tecnologie tese a rafforzare le mitigazioni ROP chiudendo di conseguenza i canali sfruttati per bypassale. Nel caso pertanto in cui EMET intercetti un'anomalia in essere sui processi emetizzati, stoppa automaticamente il processo e restituisce un pop-up di allarme, Ultima modifica di nV 25 : 25-06-2013 alle 11:10.