Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (2 de 3)

Windows Técnico

Sindicación

Proximos HOLs

Loading...

*****************************************************************************************************************
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (1 de 3)
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (2 de 3)
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (3 de 3)

*****************************************************************************************************************

En el anterior Post os informábamos de una de las últimas vulnerabilidades encontradas en Internet Explorer y las posibles soluciones aportadas a la comunidad, entre las que encontrábamos el uso de EMET como herramienta para implementar tecnologías ASLR. También os comentábamos los puntos fuertes de dicha herramienta. Hoy vamos a enseñaros cuáles son las tecnologías de mitigación que incorpora así como el funcionamiento de la misma. EMET es una utilidad perfecta frente a posibles ataques de desbordamiento de pila que puedan sufrir las aplicaciones obteniendo como resultado el ataque de denegación de servicio.El objetivo de EMET es proteger los procesos que se ejecutan en nuestro entorno frente a este tipo de ataques a través de la aplicación de seis medidas de mitigación:

  • ASLR (Address Space Layout Randomization): Con este tipo de técnica de mitigación, las asignaciones de las funciones y los datos de las aplicaciones en la memoria se realizan al azar, impidiendo en gran medida cualquier ataque de cualquier hacker que sea bueno prediciendo las ubicaciones de memoria.
  • SEHOP (Structure Exception Handler Overwrite Protection):  Introducido en Windows Vista SP1 y Windows Server 2008, esta técnica de mitigación puede ser habilitada/deshabilitada en Windows 7 mediante la clave del registro DisableExceptionChainValidation con valor a 0/1 (mas info). Esta tecnología se encarga de proteger los procesos frente a las técnicas más comunes de desbordamiento de pila y puede ser habilitada de forma global en todas las aplicaciones en plataformas Windows Vista SP1 o Windows 7 mediante el siguiente Hotfix.
  • DEP (Data Execution Prevention): técnica de mitigación disponible a partir Windows XP, encargándose de impedir que el código en la memoria sea ejecutado si dicho código no es marcado como ejecutable. DEP es una solución de hardware + software para prevenir la ejecución de código de páginas de memoria que no estén explícitamente marcadas como ejecutables. DEP se encuentra activado por defecto para procesos de 64 bits en plataformas de 64 bits y no se puede desactivar. DEP y ASLR suelen funcionar juntos, complementándose entre si, siendo muy difíciles de evitar por los atacantes.  Para saber si un sistema cuenta con procesadores que implementen DEP forzado por hardware (Hardware-Enforced DEP) siga el siguiente procedimiento:

    • Abra una línea de comandos y ejecute la herramienta de línea de comandos de WMIC (Windows Management Instrumentation Command) para comprobar la configuración de DEP con el comando WMIC OS Get DataExecutionPrevention_Available. Un valor devuelto de TRUE indica que existe compatibilidad DEP forzada por hardware a nivel de procesador:

      imageImagen 1: Comprobar la configuración  DEP mediante WMIC 

    • La tecnología DEP puede ser aplicada mediante una política que afecte a todo el sistema (para todos los procesos) o para un proceso específico. Actualmente existen cuatro formas de cumplir una política de mitigación DEP. Para visualizar la disponible en el sistema, ejecute el comando WMIC OS Get DataExecutionPrevention_SupportPolicy.
    • imageImagen 2: Comprobar la política del sistema soportada

    • El valor de retorno obedecerá a la siguiente tabla de datos indicando la configuración de DEP para el sistema:

  • image
    Imagen 3: Configuración de directiva DEP

  • Heapspray Allocations: Técnica de mitigación utilizada por EMET para alojar  en memoria páginas de uso frecuentes para prevenir exploit.

  • Null Page Allocation: Esta otra técnica de mitigación es parecida a Heapspray Allocations, ya que busca prevenir o evitar posibles problemas de eliminar referencia nulas en modo de usuario.

  • EAF (Export Address Table Access Filtering): Mediante esta técnica de mitigación se intentan prevenir los exploits que necesitan realizar llamadas a API específica en memoria

Podéis encontrar un resumen de las seis mitigaciones disponibles en EMET a través del siguiente video de Microsoft, donde Fermín J. Serna (Software Development Enginner) y Andrew Roths (Security Developmet Lead) explican el funcionamiento da cada una de dichas mitigaciones. Fermín J. Serna es el principal responsable del desarrollo de EMET y ya en su día fue entrevistado por el Maligno. No te olvides de suscribirte al Canal RSS de Windows Técnico para mantenerte informado.

*****************************************************************************************************************
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (1 de 3)
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (2 de 3)
- Mitigación de vulnerabilidades en Internet Explorer con Enhanced Mitigation Experience Toolkit (3 de 3)

*****************************************************************************************************************

rsswindowstecnico


Enviado ene 21 2011, 11:31 por Ruben Alonso

Añadir un comentario

(requerido)  
(opcional)
(requerido)  
Recordarme
If you can't read this number refresh your screen
Enter the numbers above: