Microsoft udostępnia EMET 5, pakiet do konfiguracji systemowych zabezpieczeń

Microsoft na swoich stronach udostępnił nową wersję zestawu narzędzi rozszerzonego środowiska ograniczającego ryzyko. EMET 5, bo właśnie o niego chodzi, to wydanie wprowadzające szereg nowych funkcji i bardzo ważne poprawki do dostępnych wcześniej. Oprogramowanie to, choć teoretycznie skierowane do pracy na serwerach, może być z powodzeniem używane także na komputerach domowych, oferując dodatkową, zupełnie darmową ochronę przed exploitami.

Nowa wersja EMETa wprowadza dwa nowe rozwiązania do ochrony aplikacji. Pierwsze, Attack Surface Reduction (ASR), pozwala na zablokowanie lub ograniczenie określonych modułów lub wtyczek działających w programach. Dzięki niemu użytkownik może np. zablokować działanie apletów Javy w pakiecie Office. Innym zastosowaniem jest blokada Adobe Flash w strefie internetowej, przy jednoczesnym jego odblokowaniu np. w firmowym intranecie. Dzięki temu można blokować wtyczki w miejscach z wysokim ryzykiem ataku. Domyślna konfiguracja EMETa przewiduje blokowanie właśnie przy pomocy ASR Adobe Flasha w plikach Worda, Excela i Power Pointa, podobnie niektórych modułów w Internet Explorerze gdy korzystamy z Internetu. Użytkownicy oczywiście mogą ją w razie problemów wyłączyć.

Drugie zabezpieczenie to ulepszony mechanizm Export Address Table Filtering (EAF), teraz występujący pod nazwą EAF+. Początkowo był to ten sam moduł, jednakże podczas prac stwierdzono, że zostanie on wydzielony jako osobne zabezpieczenie. Składnik ten przeprowadza dodatkowe kontrole integralności rejestrów stosu, blokuje próby uzyskania dostępu do chronionych tabel z niezaufanych modułów. Obie te zmiany mają na celu lepsze zabezpieczenie przed atakami przy użyciu techniki return oriented programming (ROP), która już niejednokrotnie pozwalała ominąć mechanizmy DEP i ASLR. Choć Microsoft nie odkrył jeszcze żadnych ataków na procesy 64-bitowe przy jej zastosowaniu, zdecydował się umożliwić ich ochronę przy pomocy oferowanych przez aplikację zabezpieczeń: dla tego typu procesów dostępne stały się Deep Hooks, Stack Pivot, Load Library oraz MemProt.

Opcja zaufanych certyfikatów została wzbogacona o tryb agresywnego blokowania. Po jego aktywacji EMET wymusi zerwanie połączenia SSL w Internet Explorerze bez wysyłania danych sesji, zamiast jedynie sprawdzać certyfikat. Nowa wersja wprowadza także nową usługę EMET Service, która przejęła na siebie większość obowiązków usługi Agent dostępnej w poprzedniej edycji. Oprócz tego, programiści poprawili znalezione błędy i zwiększyli wydajność już i tak bardzo szybkiego oprogramowania. Zadbano o lepszą kompatybilność z oprogramowaniem antywirusowym firm trzecich, bo czasami EMET mógł powodować pewne kłopoty i uniemożliwiać poprawne działanie antywirusa.

Wydanie to jest bardzo istotne ze względu na załatanie dziur, jakie pozwoliły pracownikom firmy Bromium Labs złamać zabezpieczenia EMETa 4.1. Stalo się to jeszcze w lutym, niedługo przed rozpoczęciem hakerskiego konkursu pwn2own. Wtedy Microsoft dziękował za pomoc w rozwoju aplikacji - błędy to rzecz nieunikniona, ich wykrycie i naprawienie jest natomiast sprawą priorytetową. To wydanie kończy ze wsparciem dla systemu Windows XP. Nie jest to działanie wymierzone w jego użytkowników, lecz chęć lepszego zabezpieczenia nowszych wersji Windows, nadal posiadających oficjalne wsparcie techniczne ze strony producenta.

EMET to oprogramowanie niewielkie i co istotne, nieodczuwalne podczas pracy z komputerem. Aplikacja informuje nas o zablokowanych akcjach, więc nawet w przypadku problemów da się szybko odnaleźć ich przyczynę. Choć nie zabezpieczy nas w 100%, pozwoli na zablokowanie wielu exploitów, a te dokonują coraz więcej ataków na oprogramowanie dla Windowsa. Polecamy jego wypróbowanie, bo to prosty sposób na darmowe zwiększenie poziomu bezpieczeństwa, aplikację w najnowszej wersji znajdziecie w bazie naszego serwisu.