Улучшаем безопасность Windows с помощью EMET 5

2015-03-13 | Автор | комментарии
Компания Microsoft недавно выпустила новую версию своего автономного средства безопасности Enhanced Mitigation Experience Toolkit (EMET). Данное бесплатное приложение защищает компьютер от опасных угроз нулевого дня

Улучшаем безопасность Windows с помощью EMET 5
Перевод Comss.ru. По материалам Windows Secrets

В данной статье приводятся основные возможности EMET, а также преимущества использования инструмента для домашних и корпоративных пользователей.

Дополнительная безопасность для Windows

В настоящее время кибер-атаки становятся все более изощренными. Поддержание безопасности систем Windows против Интернет-атак является постоянной проблемой как для Microsoft, так и для конечных пользователей. Возможно, самой главной проблемой для пользователей Windows является защита от атак нулевого дня - новейших угроз, которые в силу своего малого возраста неизвестны установленным антивирусным решениям.

Наши системы максимально уязвимы в период времени между запуском нового эксплойта и добавлением его сигнатуры в базы данных антивирусных движков. Большинство современных антивирусов содержат в своем составе инструменты, которые пытаются предотвратить атаки нулевого дня посредством поиска признаков вредоносного поведения. Результаты, как правило, не отличаются особой надежностью.

Microsoft в свою очередь предлагает разнообразные компоненты защиты.  Одним из лучших инструментов по борьбе с угрозами нулевого дня является Enhanced Mitigation Experience Toolkit (EMET). На протяжении своего жизненного цикла программа довольно активно развивалась и регулярно получала обновления. Microsoft выпустила 5 версию EMET 31 июля 2014 года. Новый EMET получил большое количество улучшений, среди которых, помимо прочего, защита от прямых таргетированных атак на EMET. На днях стало доступно очередное обновление - EMET 5.2.

EMET является бесплатным автономным приложением безопасности, но не позиционируется как универсальное антивирусное решение. Компонент работает совместно с решениями Microsoft или сторонних вендоров антивирусного ПО для усиления защиты от атак, которые нацелены на популярное и распространенное ПО:  Internet Explorer, Office, Acrobat и Java. EMET совместим со всеми современными версиями Windows, начиная от Vista SP2 и Windows Server 2003 SP2 и заканчивая Windows 8.1 и Windows Server 2012 R2.

Очень часто пользователи заблуждаются, что EMET является корпоративным инструментом для предприятий. Продукт прекрасно подготовлен для корпоративной среды, но по заявлениям Microsoft, инструмент можно использовать также для защиты домашних компьютеров.

Кто должен задуматься над применением EMET? Если Вы сталкиваетесь с выполнением заданий, которые связаны с конфиденциальной персональной информацией - заказы или интернет-банкинг - установка EMET 5 крайне рекомендуется. На странице загрузки продукта Вы также сможете найти руководство по использованию программы в формате PDF с дополнительными указаниями для компаний и сетей, построенных на базе домена. Не будем забывать, что EMET будет также эффективен и на автономных машинах.

Несколько советов по установке EMET 5

Если у Вас уже установлена старая версия EMET, вам нужно полностью удалить продукт перед установкой EMET 5 версии. Для работы EMET требуется запуск .NET 4.0. Во время установки 5 версии, вас спросят, нужно ли использовать рекомендуемые настройки. В большинстве случаев следует принять данную опцию, чтобы автоматически настроить профили для самых атакуемых приложений, включая Adobe Acrobat, Adobe Reader, Internet Explorer, Java, Office и MS WordPad, а  также добавить сертификаты безопасности для онлайн сервисов.

При принятии настроек по умолчанию активируются оповещения на панели уведомлений, а также программа раннего предупреждения (Early Warning Program), которая отправляет отчет в Microsoft, когда EMET обнаруживает возможную попытку атаки.

Рисунок 1. При запросе первоначальных настроек EMET предлагает выбрать опцию рекомендуемых параметров
Рисунок 1. При запросе первоначальных настроек EMET предлагает выбрать опцию рекомендуемых параметров

Рассмотрим, какую дополнительную защиту Windows предоставляет EMET.

Инструменты EMET для обнаружения угроз нулевого дня

Начнем с настроек EMET. Обратите внимание на иконку EMET в панели уведомлений Windows. Вызовите контекстное меню иконку и выберите пункт “Открыть EMET”.

Рисунок 2. Доступ в EMET с помощью панели уведомлений
Рисунок 2. Доступ в EMET с помощью панели уведомлений

Рисунок 3 показывает первоначальные настройки EMET. В опциях Data Execution Prevention, Structured Exception Handler Overwrite Protection и Address Space Layout Randomization выбран параметр “Opt in”, в опции Certificate Trust (Pinning) стоит значение “Enabled”.

Рисунок 3. Первоначальные настройки EMET
Рисунок 3. Первоначальные настройки EMET

Описание настроек:

Data Execution Prevention (DEP, предотвращение выполнения данных) - функция безопасности, первоначально внедренная в Windows XP. EMET защищает даже те приложения, архитектура которых не была первоначально подготовлена для EMET. Продукт значительно расширяет системную защиту DEP. Технология DEP позволяет предотвратить атаки, которые сохраняют код в области памяти с помощью переполнения буфера. EMET резервирует определенные области компьютерной памяти для соответствующих типов программ. Например, память, отведенная для исполняемых файлов будет использоваться только для программ, служб и драйверов устройств. В этом случае киберпреступник не сможет использовать данные зоны памяти для скрытия вредоносного кода.

Structured Exception Handler Overwrite Protection (SEHOP, защита от перезаписи обработчика структурных исключений) - технология, впервые представленная в 2009, позволяет предотвращать атаки, которые выполняют перезапись обработчика структурных исключений - проще говоря, эксплойт “переполнения буфера”.

Address Space Layout Randomization (ASLR) - случайным образом меняет расположение в адресном пространстве ключевых компонентов приложений, затрудняя хакеру доступ к известных уязвимостям в коде приложений. Без ASLR приложения запускается в специальных зонах адресного пространства памяти. ASLR поддерживается Windows Vista и всеми последующими ОС семейства Windows. В Windows XP не поддерживается работа SEHOP и ASLR, поэтому использование EMET не принесет максимального усиления защиты.

Certificate Trust (Pinning): Мы до сих пор в значительной степени полагаемся на сертификаты безопасности в качестве превентивной меры защиты в сети. По умолчанию, EMET полагает, что некоторые безопасные сертификаты Socket Layer  являются доверенными. Продукт также считает, что сайты Facebook, Skype, Twitter, Yahoo и Microsoft имеют надежные сертификаты. Сайты, чьи сертификаты не отвечают ожиданиям EMET, автоматически блокируются. Данная функция сможет выручить, например, когда пользователь попытается посетить фальшивый сайт Facebook.

Приложения, которые EMET защищает по умолчанию

Напомним, при выборе рекомендованных настроек во время установки EMET будет сконфигурирована на предотвращение атак против приложений, которые наиболее подвержены уязвимостям: Adobe Acrobat и Adobe Reader, Internet Explorer, Java, Office, и WordPad. Базовые настройки защитят вас от тотального  большинства атак нулевого дня.

Тем не менее, эта защита не является абсолютной - не существует идеальной системы безопасности для компьютера. Так например, исследователи Bromium Labs выявили эксплойт, который обходил защиту EMET. К счастью, эксплойт был лишь прототипом, а не реальной угрозой in-the-wild. Microsoft с тех пор научила EMET блокировать такие эксплойты. (Некоторые киберпреступники добавляют компонент во вредоносный код который проверяет наличие EMET. Если Вредоносный код находит EMET, он даже не пытается выполняться).

В официальном блоге Microsoft, посвященном безопасности, упоминается о двух новых функциях EMET 5 версии. Во-первых, Attack Surface Reduction (ASR) обеспечивает дополнительный контроль над тем, как используется уязвимое ПО. Например, некоторые компании могут запускать старые плагины Java для работы их внутренних ресурсов. EMET 5 может блокировать загрузки Java плагинов от внешних сайтов в браузерах, но позволять запуск Java кода на внутренних сайтах.

По умолчанию ASR блокирует работу плагинов Adobe Flash в Excel, PowerPoint и Word. Компонент может также блокировать запуск многочисленных скриптов на веб-сайтах, которые не значатся в списке надежных узлов в IE. Под блокировку подпадают скрипты на Java, MS Vector Markup Language, MS XML Core Services, Windows Script Host runtime, и MS Scripting runtime.

Вторая новая функция - Export Address Table Filtering Plus (EAF+), это улучшенная версия EAF, которая раньше была в EMET. EAF+ выполняет две основные функции:

  • выполняет дополнительные проверки целостности регистров и лимитов стека, когда экспортируемые таблицы читаются низкоуровневыми модулями;
  • предотвращает операции чтения памяти на заголовках PE, секциях, при операциях импорта и экспорта указателей таблиц выбранных модулей, когда они поступают от подозрительного кода, который может выявлять повреждения памяти для исследования ее содержимого.

Малый бизнес в зоне высокого риска

Владельцы предприятий малого бизнеса в США должны помнить, что их банковские аккаунты не защищаются страхованием FDIC. Эксперт по компьютерной безопасности, Брайан Кребс (Brian Krebs) упоминал о многочисленных зарегистрированных случаях, когда банковские аккаунты удалялись с помощью единичной операции передачи, не оставляя владельцам аккаунтов шанса для восстановления украденных средств. Кребс рекомендует выделить отдельную систему для интернет-банкинга. Установка EMET на эту систему позволит усилить меры безопасности.

Тем не менее, рекомендуется устанавливать EMET на любую машину, которая используется для онлайн банкинга. При работе компонента возможны сбои при открытии веб-страниц и внезапное закрытие браузера, зато он предоставляет повышенную безопасность для финансовых аккаунтов.

EMET - хороший инструмент, но не для всех

Учитывая нескончаемые угрозы для Windows, у Вас наверняка, назревает вопрос: почему Microsoft не включила EMET непосредственно в ОС? Некоторые или даже все возможности EMET будут включены в следующие ОС семейства Windows. Однако, текущая экосистема Windows огромна и разнообразна. Защита EMET может быть несовместима с вашей конфигурацией Windows или вашими компьютерными потребностями и привычками.

При использовании EMET некоторые страницы могут закрываться неожиданно, предлагая отправить отчет об ошибке в Microsoft. Пользователь может потратить некоторое количество времени на настройку EMET, если компонент оказался чужеродным для конкретной конфигурации компьютера.

Таким образом, EMET не должен устанавливаться на каждую систему. Если Вы являетесь геймером или используете систему для случайных целей, не связанных с личными финансами, побочными эффектами применения EMET могут быть случайные закрытия веб-страниц и неожиданные завершения сессий браузера. Перед пользователем стоит нелегкий выбор: удобство или безопасность.

Тем не менее, если Вы не используете Internet Exlorer, Вы можете не заметить побочных эффектов от EMET. Просто попробуйте использовать данный продукт; следующий раз при атаке угрозы нулевого дня Вы будете лучше защищены. Если компонент окажется навязчивым, Вы сможете настроить его или, в крайнем случае, удалить его.

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества