09 mayo 2012

Configurando EMETv2.1


Como ya se ha visto en los posts anteriores (Mitigaciones de seguridad en EMETv2.1 I, II y III), EMET es un programa muy útil para incrementar la seguridad del sistema. Permite añadir mitigaciones de seguridad a aplicaciones que no han sido programadas nativamente para soportarlas. Esto permite que incluso queden protegidas ante vulnerabilidades 0-day que en otras condiciones podrían hacer que el sistema fuese vulnerable a ejecución de código, por ejemplo

EMET soporta diferentes versiones de Windows y niveles de parcheo, pero no todas las mitigaciones están disponibles para todos ellos.


Lo mismo sucede con sistemas de 32 y 64 bits, ya que algunas protecciones sólo están disponibles en 32 bits.


Gracias a los posts anteriores conocemos qué protecciones ofrece EMET y cómo funcionan a bajo nivel. Ahora vamos a ver cómo configurar EMET para sacarle el máximo partido.

Aplicar mitigaciones

Existen dos formas de configurar las protecciones: a nivel de sistema o de ejecutables. Éstas no son mutuamente excluyentes, sino complementarias.


En el apartado Configure System podemos configurar a nivel global ciertas mitigaciones de seguridad (DEP, SEHOP, ASLR) mediante las directivas Always On, Application Opt-Out, Application Opt-In, Disabled). Se explicó cómo funciona cada una de ellas en el apartado DEP del primer post de la serie.

Existen dos perfiles por defecto en esta sección. Si se utiliza Maximum Protection Security nos podemos encontrar con que algunas aplicaciones dan problemas y no funcionan correctamete. Por eso se recomienda utilizar Recommended Security Settings.



En Configure Apps se configuran los binarios que queremos proteger y las mitigaciones que se aplican al mismo. Por defecto se activan todas si el SO las soporta. Las mitigaciones de seguridad que no aparecen en Configure System, se aplican o no en base a si están marcadas mediante el checkbox en la lista de aplicaciones añadidas manualmente.

Es importante tener en mente que se añaden los binarios de aplicaciones indicando la ruta completo, no sólo el nombre del binario. Por lo tanto podríamos tener dos versiones de la misma aplicación protegidas por EMET.



Cuando se realiza una modificación en Configure System o Configure Apps es necesario reiniciar el sistema para aplicar los cambios.

Configuración de seguridad mediante CLI

Existe la posibilidad de configurar EMET mediante CLI, de forma que se podría automatizar el proceso. La configuración mediante GUI es extremadamente útil para una sóla máquina, pero podría ser un problema para implementarlo en varias máquinas. Es aquí donde entra en juego la CLI.


También podemos sacar partido de la posibilidad de importar y exportar la configuración en XML. Sería útil en caso de que las restantes máquinas tengan el mismo software instalado y necesiten la misma configuración de seguridad.

----------------------------------------
Artículo cortesía de David Montero

4 comments :

Invitado dijo...

Sería posible mitigar el riesgo de mimikatz (que realiza un proceso de debug sobre el lsass) con esta herramienta?

damontero dijo...

No lo he probado, pero teniendo en cuenta las mitigaciones que cubre EMET y el funcionamiento de mimikatz, dudo que impida el volcado de credenciales.

Si finalmente lo pruebas, coméntanos los resultados que obtienes.

¡Saludos!

Invitado dijo...

Pues estabas en lo cierto, no impide el volcado

damontero dijo...

 Gracias por probarlo y sobretodo por comentarlo.

Saludos