Compartilhar via

Reduzindo a Exploração de Vulnerabilidades com o EMET 5.2

  • Artigo

Objetivo

Esse artigo tem como objetivo demonstrar como instalar e configurar o EMET 5.2 para reduzir a exploração de vulnerabilidades em seu computador ou servidor de forma rápida e fácil.

Aplica-se a:

Clientes:

  • Windows Vista Service Pack 2;
  • Windows 7 Service Pack 1;
  • Windows 8;
  • Windows 8.1.

Servidores:

  • Windows Server 2003 Service Pack 2;
  • Windows Server 2008 Service Pack 2;
  • Windows Server 2008 R2 Service Pack 1;
  • Windows Server 2012;
  • Windows Server 2012 R2.

Visão Geral

Praticamente todos os softwares já tiveram alguma vulnerabilidade de segurança explorada e para aqueles que ainda não tiveram é só uma questão de tempo para que algum **cracker **ou estudante de tecnologia descubra a vulnerabilidade e torne-a pública. Foi pensando nisso que a Microsoft criou o EMET (Enhanced Mitigation Experience Toolkit). O EMET foi criado para reduzir a exploração das falhas de segurança utilizadas pelos crackers para obter acesso aos sistemas que tenham vulnerabilidades conhecidas e as de Zero-day Attack.

Um dos grandes desafios para os usuários nos dias de hoje é manter os seus computadores atualizados e seguros e eu não estou falando aqui somente dos sistemas operacionais da Microsoft, mas de todos os outros milhares de softwares que são instalados nos computadores, como o Adobe Reader, Winzip, Firefox, Apple QuickTime, Chrome, etc.

Os grandes fornecedores de softwares como a Microsoft tem disponibilizado atualizações de segurança constantemente para evitar que os seus softwares sejam explorados por hacker, porém em alguns casos essas vulnerabilidades são descobertas antes dos fabricantes e tornam-se públicas sem um aviso prévio. Quando isso acontece o software fica vulneravél ao Zero-day Attack até que uma correção seja criada e distribuída pelo fabricante você poderá utilizar o EMET para proteger o seu sistema até que uma correção seja disponibilizada.

Nota

*O **EMET permite forçar o uso do DEP, *ASLR SEHOP em todo o seu sistema, o qual impede que alguns erros de programação comuns resultem em vulnerabilidades exploráveis. Em nível de aplicação é possível forçar o uso do DEP,SEHOPNullPageHeapSprayEAFMandatoryASLR.

Novidades no EMET 5.2

  • Controle o fluxo da Proteção: DLLs nativos do EMET foram compilados com Control Flow Guard (CFG).  CFG é um novo recurso introduzido no Visual Studio 2015 (e suportado no Windows 8.1 e Windows 10) que ajuda a detectar e impedir as tentativas  de sequestro de código. DLLs nativos  do EMET (i.e.  EMET.DLL) são injetados no processo de aplicação que o EMET protege. Uma vez que fortemente aconselhamos que  programadores de terceiros recompilem sua aplicação para aproveitar estas tecnologias de segurança mais recentes, pois compilamos o EMET com CFG. Mais informações sobre CFG estão disponíveis em neste blog do grupo de  Visual C++.
  • O VBScript tem redução do ataque em superfície: A configuração para a Attack Surface Reduction (ASR) foi melhorada para mitigar  as tentativas de executar o VBScript quando carregado no Internet Explorer da Zona de Internet. Isso iria reduzir a exploração técnica conhecida como " “VBScript God Mode��� observado em recentes ataques.
  • Enhanced Protected Mode/IE moderno: EMET agora suporta totalmente alertas e relatórios a partir do Internet Explorer, ou Desktop IE com modo Enhanced Protected  habilitado.

Requisitos de Sistema

EMET tem suporte para os computadores executando o sistema operacional Windows cliente e servidor. Segue abaixo a lista dos sistemas operacionais suportados:

Clientes

  • Windows Vista Service Pack 2;
  • Windows 7 Service Pack 1;
  • Windows 8;
  • Windows 8.1.

Servidores

  • Windows Server 2003 Service Pack 2;
  • Windows Server 2008 Service Pack 2;
  • Windows Server 2008 R2 Service Pack 1;
  • Windows Server 2012;
  • Windows Server 2012 R2.

Instalando o EMET 5.2

1 – Para instalar o EMET faça primeiro o download em:

https://www.microsoft.com/en-us/download/details.aspx?id=46366

2 – Clique em Download e aguarde até que o download seja concluído.

3 – Após concluir o download dê um duplo clique no arquivo EMET 5.2 Setup.msi. Será carregada a caixa de diálogo conforme mostra a figura 1.1.

Figura 1.1

4 – Na caixa de diálogo Welcome to the EMET 5.2 Setup Wizard clique no botão Next para continuar. Será carregada a caixa de diálogo conforme mostra a figura 1.2.

Figura 1.2

5 – Na caixa de diálogo Select Installation Folder selecione o local onde será instalado o EMET e em seguida clique no botão Next. Será carregada a caixa de diálogo conforme mostra a figura 1.3.

Figura 1.3

6 – Na caixa de diálogo License Agreement leia os termos da licença e selecione a opção I Agree e em seguida clique no botão Next. Será carregada a caixa de diálogo conforme mostra a figura 1.4.

Figura 1.4

7 – Na caixa de diálogo Confirm Installation clique no botão Next para instalar o EMET. Será carregada a caixa de diálogo conforme mostra a figura 1.5.

Figura 1.5

8 – Na caixa de diálogo User Account Control clique no botão Yes para permitir que o EMET seja instalado no seu computador. Será carregada a caixa de diálogo conforme mostra a figura 1.6.

Figura 1.6

9 – Na caixa de diálogo EMET Configuration Wizard selecione a opção Use Recommended Settings e em seguida clique em Finish. Será carregada a caixa de diálogo conforme mostra a figura 1.7.

Figura 1.7

10 - Na caixa de diálogo Installation Complete clique no botão Close para fechar o programa de instalação.

Configurando o EMET 5.2

Após instalar o EMET em seu computador, o próximo passo é configurar, porém antes de sair configurando todos os softwares do seu computador para usar o EMET, é importante que você faça antes todos os testes necessários para cada software individualmente, porque dependendo do software ou configuração que você fizer com o EMET ele poderá causar indisponibilidade na utilização do software. Então habilite primeiro o EMET para os softwares que são considerados maiores vetores de ataques dos crackers, como por exemplo, leitores de PDF, navegadores web, programas de mensagem instantâneas, e qualquer outro software que tenha conectividade com a Internet.

1 – Na Barra de Tarefas do Windows clique com o botão direito no ícone do EMET e selecione a opção Open EMET. Será carregada a caixa de diálogo conforme mostra a figura 1.8.

Figura 1.8

2 – Na caixa de diálogo User Account Control clique no botão Yes para permitir a execução do programa EMET em seu computador. Será carregada a janela conforme mostra a figura 1.9.

Figura 1.9

3 – Na parte superior da janela do EMET em System Status mostra o status atual de mitigação do sistema (DEP, SEHOP e ASLR), e o status do recurso Certificate Trust, os quais podem ser alterados diretamente nessa seção.

*Nota

O recomendável é manter a opção Application Opt-In nas três opções do System Status, o qual fica a critério do EMET habilitar a proteção ou não em seu sistema. Se você quiser configurar a segurança máxima, poderá habilitar o Maximum Security Settings no Profile Name. Selecionando essa opção você talvez tenha alguns travamentos adicionais em seu sistema, nesse caso você precisará retornar a configuração para Application Opt-In. Escolha a configuração desejada. Em nosso exemplo, não iremos alterar essa configuração conforme mostra a figura 1.10.*

Figura 1.10

4 –  Na parte superior do EMET clique no botão Apps. Será carregada a janela conforme mostra a figura 1.11.

Figura 1.11

5 –  Na caixa de diálogo Application Configuration verifique se a aplicação que você deseja proteger já está listada, caso não esteja na lista clique no botão **Add Application **para adicionar uma aplicação que será configurada pelo EMET. Será carregada a caixa de diálogo conforme mostra a figura 1.12.

Figura 1.12

6 –  Na caixa de diálogo Add Application localize o software que será configurado pelo EMET e em seguida clique no botão Open. Em nosso exemplo, iremos selecionar o software Chrome. Será carregada a janela conforme mostra a figura 1.13.

Figura 1.13

*Nota

Por padrão o EMET irá marcar as opções (DEP, SEHOP, NullPage, HeapSpray, EAF, MandatoryASLR, BottomUpASLR, LoadLib, MemProt, Caller, SimExecFlow, StackPivot), porém dependendo do software que você tenha adicionado na lista uma das opções poderá ser incompatível, o qual poderá causar um travamento do software, então faça vários testes antes de colocar em produção.*

7 – Na caixa de diálogo Application Configuration clique no botão OK. Será carregada a janela conforme mostra a figura 1.14.

Figura 1.14

Nota

No final da janela do EMET é exibido a mensagem The changes you have made may require restarting one or more applications*. Feche o EMET e a aplicação caso esteja aberta.*

8 – Abra o EMET e execute a aplicação que você configurou nos passos anteriores, em nosso exemplo iremos executar o Chrome. A janela do EMET exibirá o processo do Chrome conforme mostra a figura 1.15.

Figura 1.15

Como você pode ver o Chrome está sendo executado com a proteção do EMET. Agora é só repetir o mesmo procedimento para adicionar outros softwares na lista.

Artigos Relacionados

Referências