Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (1 de 3)

Windows Técnico

Sindicación

Proximos HOLs

Loading...

*****************************************************************************************************************
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (1 de 3)
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (2 de 3)
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (3 de 3)

*****************************************************************************************************************

Desde el RSS de Hispasec recibimos las posibles soluciones a la última vulnerabilidad reportada que afecta a todas las versiones de Internet Explorer. La vulnerabilidad (que recibió el nombre de Aurora), consiste en un exploit (hecho público por Metasploit) que se aprovechaba de un fallo en el procesamiento de las hojas de estilo en cascada (Cascading Style Sheets, CSS) dando como resultado una denegación de servicio, y dejando que Internet Explorer dejara de funcionar.  A los pocos días de hacerse pública la vulnerabilidad, Nephi Johnson publicaba el código necesario para explotarla en un post denominado  When A DoS Isn’t A DoS. Nephi hablaba de los rumores que había habido los días anteriores sobre dicha vulnerabilidad la mayoría de los cuales hacían referencia a que no se podía explotar dicha vulnerabilidad. Él, por su parte, se encargaba de desmentir dichos rumores,demostrando que si era explotable, y que en verdad no se trataba de una denegación de servicio. De ahí el nombre de su post. El entorno empleado: Internet Explorer 8 sobre Windows XP con SP3.

Por otra lado, con fecha del 23 de diciembre se adaptó el exploit evitando Data Execution Prevention (DeP) y Addess Space Layout Randomization (ASLR) en plataformas Windows Vista y Windows 7, consiguiendo esto último gracias a la carga dinámica que se produce por parte del navegador Internet Explorer de librerías que no se encuentran marcadas para utilizar ASLR (como por ejemplo mscorie.dll) y el uso de Programación orientada a retorno (Return Oriented Programming).

Mientras tanto, y aunque no se han reportado ataques utilizando dicha vulnerabilidad, Microsoft ha reconocido la misma y trabaja en su solución. Los consejos que han sido trasmitidos a la comunidad para mitigar dicha vulnerabilidad hasta la fecha son:

  • El uso de las zonas de seguridad disponibles en Internet Explorer, utilizando el nivel de seguridad “Alto” para evitar la mayoría de los ataques actuales, añadiendo a las páginas de confianza solamente aquellas que sean legítimas y que puedan tener problemas de visualización.
  • El uso del kit de herramientas Enhanced Mitigation Experience Toolkit (EMET) de Microsoft, donde dicha herramienta nos va a permitir que todas las librerías (DLL) cargadas por una aplicación se vean obligadas a utilizar ASLR, por  lo que cualquier exploit que intente apoyarse en dichas librerías no funcionara al haberse ubicado las mismas en lugares aleatorias de memoria. Para aquellos SSOO Microsoft que no soporten ASLR (Windows XP o Windows 2003) se pueden utilizar aplicaciones tipo WehnTrus. WehnTrus es un Sistema de Prevención de Intrusos basado en Host (HIPS) utilizado en dichos entornos en la mitigación de exploits.
  • Por último, y no menos seguro, se puede optar por la utilización de herramientas como Sandboxie que ejecutan el navegador en un entorno aislado (entorno virtual) por lo que cualquier ataque que se produzca no se transmitirá al sistema físico.

Nosotros, al ser un producto Microsoft, hemos optamos por enseñar el funcionamiento de Enhanced Mitigation Experience Toolkit a la hora de implementar ASLR para todas las librerías necesarias para una aplicación. El kit de herramientas podéis descargarlo desde aquí.

imageImagen 1: Enhanced Mitigation Experience Toolkit

La finalidad de esta herramientas es la de controlar o mitigar los posibles ataques que puedan derivar de la ejecución de código malicioso que pudiera producirse a través de un ataque de denegación de servicio. Esta herramienta, disponible para plataformas Windows versa con la siguiente intro:

“Las vulnerabilidades de software se han convertido en una parte cotidiana de la vida. Prácticamente todos los productos tienen que lidiar con ellas y, en consecuencia, los usuarios se enfrentan a una corriente de actualizaciones de seguridad. Para aquellos usuarios que reciben ataques antes de que las actualizaciones más recientes se hayan aplicado o que sean atacados antes de una actualización no se encuentre disponibles, los resultados pueden ser devastadores: malware, pérdida de información de identificación personal, etc […..] Las tecnologías de seguridad de mitigación se han diseñado para que sea más difícil para un atacante explotar vulnerabilidades en una determinada pieza de software. EMET permite a los usuarios gestionar estas tecnologías en su sistema y proporciona varios beneficios únicos”

A su vez, desde la zona de descarga podemos leer sus bondades:

  • No es necesario el código fuente de las aplicaciones: EMET es especialmente útil a la hora de implementar medidas de mitigación en el software desarrollado antes de que las mitigaciones se encuentren disponibles y sobre todo cuando el código fuente de dichas aplicaciones no se encuentre disponible.

  • Altamente configurable: EMET proporciona un mayor grado de granularidad al permitir que las mitigaciones que se aplican de forma individual a un determinado proceso base, por lo que no hay necesidad de aplicarla a todo un producto completo o una suite de aplicaciones en su conjunto, siendo útil en aquellas situaciones donde un proceso no sea compatible con una tecnología de mitigación en particular, pudiendo desactivar en cualquier momento dicha tecnología de mitigación para dicho proceso.

  • Ayuda a fortificar aplicaciones heredadas: No es raro que las organizaciones dependan de software considerado “antiguo” que ha sido heredado por diversos motivos, y que no puede ser modificado y no queda otra solución que irlo eliminando o migrando lentamente. Me viene a la mente el caso de un ayuntamiento en donde el software de base de datos Oracle Database 11g se encontraba ejecutándose con un nivel de compatibilidad de la versión de Oracle Database 8.0, debido a que en caso de cambiarse, la aplicación cerrada del Padrón del municipio dejaba de funcionar correctamente, produciendo problemas de rendimiento al utilizar el antiguo optimizador basado en Reglas, sacrificando en el proceso todas las nuevas características de seguridad frente a la usabilidad, disponibilidad y estabilidad de dicha aplicación de gestión del padrón.

  • Fácil de utilizar: EMET dispone de un entorno gráfico de sencilla utilización que permite establecer las políticas de mitigación del sistema de forma rápida y cómoda, sin que haya necesidad de ubicar y descifrar las claves de registro o ejecutar utilidades dependientes de la plataforma.

  • Mejora continua: EMET es una herramienta diseñada para ser actualizada en cuanto se disponga cualquier nueva tecnologías de mitigación, sin encontrarse asociada a ningún producto específico, por lo que las actualizaciones de la herramienta se realizan de forma dinámica en cuanto nuevas tecnologías de mitigación se encuentren disponibles.

*****************************************************************************************************************
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (1 de 3)
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (2 de 3)
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (3 de 3)

*****************************************************************************************************************


Enviado ene 10 2011, 10:14 por Ruben Alonso

Añadir un comentario

(requerido)  
(opcional)
(requerido)  
Recordarme
If you can't read this number refresh your screen
Enter the numbers above: