EMET 4: Exploit Prevention

[nV 25]

Download

-------------------------

EMET è uno strumento concepito per rendere più difficile il tentativo di accesso non autorizzato al sistema mediante l'impiego di speciali tecnologie di mitigazione pensate per ostacolare lo sfruttamento di vulnerabilità presenti nei programmi.

Un exploit, infatti, è definibile come lo sfruttamento di qualcosa per trarre un vantaggio, nel nostro caso l'esecuzione di un payload arbitrario sfruttando un bug in un programma che permetta di controllare lo scorrimento del codice in modo tale che il payload stesso possa essere eseguito.

Il tool opera su 2 livelli consentendo di definire politiche che impattano sull'intero sistema nonchè politiche che riguardano la singola applicazione.
In quest'ultimo caso, le mitigazioni supportate a livello di processo sono regolabili in maniera indipendente e senza che gli effetti si ripercuotano su altri processi.

L'approccio seguito da EMET, inoltre, è di tipo preventivo, teso cioè ad impedire completamente l'esecuzione dello shellcode.

Schema delle tecnologie messe a disposizione dal tool a partire da Vista +:

-------------------------

Set-Up

Per aiutare chi dovesse affacciarsi per la prima volta a questo programma, a partire da questa versione il processo di Set-up prevede uno strumento di configurazione (rappresentato nell'immagine successiva) nel quale viene chiesto all'utente di scegliere se optare o meno per la configurazione raccomandata.



Effettuata pertanto la scelta, si finalizza il processo di installazione e si rende necessario aprire l'interfaccia del programma per prendere consapevolezza della sua struttura nonchè per poter "emetizzare" i processi forzandoli all'uso delle mitigazioni rese disponibili dal tool cosi' da attenuarne la superficie di rischio.

Interfaccia + impostazioni di default per 7 e 8:


La prima cosa che balza sicuramente all'attenzione è il quadro relativo alle impostazioni di sistema dal quale è possibile governare le mitigazioni che hanno un impatto diretto su tutta la macchina.



I sistemi operativi moderni, infatti, incorporano già tecnologie come DEP/ASLR senza tuttavia permettere alterazioni alle impostazione di default (opt-in).
EMET, pertanto, risolve questa lacuna consentendo un controllo granulare sulle singole mitigazioni di sistema che è operabile percorrendo 2 strade:
la 1° passante per il quadro comandi System Status dove, agendo sul menù a tendina collegato ad ogni singola mitigazione, è possibile impostare il grado di settaggio desiderato.
La 2°, invece, per l'uso del set predefinito di regole che ricadono nel quadro "Quick Profile Name",



A livello di sistema, le impostazioni raccomandate sono sicuramente adeguate per cui innalzarne il livello può risultare eccessivo.

----------------------


Impostazioni possibili a livello di sistema:


----------------------

Oltre alla possibilità di intervenire sulle mitigazioni di sistema, EMET ammette anche la possibilità di proteggere singoli processi forzandoli all'uso di un ventaglio più ampio di tecnologie anti-exploit.

Per emetizzare il processo desiderato, il canale è rappresentato dal simbolo Apps



che apre a sua volta una nuova schermata rappresentata sinteticamente dall'immagine sottostante.



A questo punto è sufficiente agire sul pulsante Add Application per inserire manualmente nella lista le applicazioni che si desidera emetizzare.

I processi a 64bit, cmq, non beneficiano dell'intero set di mitigazioni come mostrato anche dall'immagine successiva...


La versione 4, peraltro, introduce nuove tecnologie tese a rafforzare le mitigazioni ROP chiudendo di conseguenza i canali sfruttati per bypassale.



Nel caso pertanto in cui EMET intercetti un'anomalia in essere sui processi emetizzati, stoppa automaticamente il processo e restituisce un pop-up di allarme,

[nV 25]

.

[nV 25]

.

[nV 25]

Al momento solo 2 battute:

8 X64:
semplicemente perfetto! (risolte ovviamente tutte le piccole magagne che erano emerse durante l'eterno ciclo di beta).

DA INSTALLARE ASSOLUTAMENTE E SENZA PAURA.

[nV 25]

.

[nV 25]

.

[marcos86]

Quote:

Originariamente inviato da [Claudio]

Non cominciare a sottrarti alle incombenze.
Prima domanda: Windows 7 32 Bit



DEP e SHEOP non vengono abilitati automaticamente; presumo vadano abilitati manualmente, giusto?.

Anche io ho dovuto impostarli manualmente (probabilmente nelle sue schermate enne ha aggiornato la versione precedente che ha mantenuto i settaggi)

Io ho settato sia dep che sehop in opt-out.
Ho notato infatti che il dep always on a volte dà problemi con alcuni programmi.
Non so se il sehop può creare gli stessi problemi, ma in attesa di smentite lo tengo opt-out come il dep

[marcos86]

La differenza tra opt-in e opt-out è che opt-in indica che la funzionalità è sempre disabilitata tranne per quei programmi che la richiedono (optional-in)
Con opt-out invece è sempre attiva tranne per quei programmi che non la richiedono.

Poi di questi meccanismi sinceramente non so nulla, ma a logica direi che l'opt-out è più sicuro e nel caso del dep permette di non avere problemi con alcuni programmi che cmq sono pochi (ultraiso e advanced uninstaller pro tra quelli che ho usato).

Magari neanche li usi e allora puoi tenere il dep always on - solo ricordati che se un nuovo programma non dovesse funzionare potrebbe essere quella la causa.

[nV 25]

Quote:

Originariamente inviato da [Claudio]

DEP e SHEOP non vengono abilitati automaticamente; presumo vadano abilitati manualmente, giusto?.

parlo esclusivamente del DEP:
come vedi dalla schermata principale del programma, di default 7 (e 8) prevedono che il DEP sia settato su opt-in, dunque che questa mitigazione sia attiva solo a patto che vi sia un'esplicita richiesta in tal senso (da parte del processo).

Quindi "è spento a meno che...".

MS, xò, ha compilato ovviamente i propri processi perchè questi beneficino da subito della mitigazione:
di fatto, pertanto, i processi di sistema è come se avessero DEP sempre impostato (e attivo).

[nV 25]

.

[nV 25]

confesso che mi piacerebbe fare tutto un pò meglio ma ho diversa stanchezza (+ problemi) che mi porto dietro e non riesco di conseguenza a trovare la giusta concentrazione per dedicarmi come vorrei al thread.


Ma al di là di questo,
**tranquilli** che questo strumento difficilmente creerà problemi di stabilità.

Al più, si può registrare qualche crash improvviso dei programmi emetizzati...


Se questo può servire a rasserenare...


PS:
anche su 7 X64 SP1 è tutto ok!

[Khronos]

Ottimo programmino.
in pratica implementa le procedure standard di prevenzione anti-exploit per tutti i processi messi in lista, colmando il fatto che magari essi stessi non le implementano.

esatto?

domanda.
attivando il LOG nell'eventvwr, diventa "estremamente Luuungo" e quindi per occasioni NON di debug è da lasciar spento?
(di default lo vuole attivare.)

Win 8 PRO 64bit. tutto bene bene.


domanda:
SKYPE come andrebbe impostato?

[nV 25]

Quote:

Originariamente inviato da Khronos

in pratica implementa le procedure standard di prevenzione anti-exploit per tutti i processi messi in lista, colmando il fatto che magari essi stessi non le implementano.

esatto?

di fatto è proprio cosi':
il tool, infatti, forza i processi che si pongono manualmente sotto la sua tutela ad utilizzare tecnologie che, altrimenti, sarebbero indisponibili fatto salvo il discorso del DEP/ASLR che, attivo di default a livello di sistema, promana i suoi effetti su tutti i processi a patto che siano espressamente compilati per il supporto di queste tecnologie...


ES:

7 (e in misura ancor maggiore, 8) hanno attivo di default sia DEP che ASLR impostati su opt-in (per conferma, è sufficiente lanciare il prompt dei comandi come amministratore e digitare bcdedit /enum controllando quindi il campo nx)

Dunque,
anche se opt-in significa "non attivare la mitigazione a meno che non vi sia un'espressa richiesta in tal senso", abbiamo che tutti i processi (binari) MS sono compilati per beneficiare di queste tecnologie, ergo i processi MS hanno DEP/ASLR attivi.

Processi terzi, invece:
hanno il flag attivo per il supporto al DEP/ASLR?
SI/NO

SI --> il settaggio di default è opt-in --> anche quel processo beneficia della mitigazione per effetto dell'impostazione di sistema

NO --> il settaggio di default è (era) opt-in --> il processo non beneficia di nulla...

Questo, appunto, senza EMET confidando quindi esclusivamente su come è costruito l'OS.

EMET, allora:
l'utente inserisce i processi di cui vuole forzare l'uso delle mitigazioni indipendentemente dalle impostazioni di sistema o dai vari flag utilizzati dal produttore del software.

Il processo emetizzato, quindi, sfrutterà quelle tecnologie.

Al più, crascha...

[Khronos]

alla tedesca:

crhasctha swarzenburgenwagengoffen.

[nV 25]

.

[nV 25]

.

[matr!x]

come va configurato per far partire jdownloader?

ho dovuto "disemetizzare" tutti gli eseguibili java runtime per farlo partire ...

*******EDIT*********

trovato : va disabilitata la funzione Heapspray (nella tab memory) per il processo javaw.exe

[nV 25]

.

[nV 25]

Quote:

Originariamente inviato da [Claudio]

...avevi linkato un elenco delle applicazioni più comuni da emetizzare .... hai modo di recuperarlo è metterlo in evidenza?...

mah, il ragionamento è semplice:
se gli exploit colpiscono gira e rigira i soliti programmi, a dover essere emetizzati saranno sempre i soliti processi. (2+2)...tant'è vero che di default EMET contempla un ruleset predefinito di regole che viene caricato automaticamente a patto di scegliere in fase di setup la configurazione raccomandata.

Questo per dire che anche loro sanno che è preso sistematicamente di mira Java, IE ecc...tant'è vero che hanno già predisposto le regole per proteggerne i processi con le giuste politiche...


Quindi, in definitiva, non ci sarà alcun bisogno di dover emetizzare paint o blocco note ma sarà sufficiente integrare le regole di default con quelli che sono i programmi installati in locale e non contemplati dal ruleset predefinito.

[nV 25]

da emetizzare, dunque, saranno:

i browser (quali che siano), i lettori multimediali o di pdf per il solito motivo, ecc..

In sostanza:
tutto quello che può far girare codice insicuro (o perchè preso dalla rete, o perchè...)