Etiqueta: EMET

EMET, la herramienta de defensa frente a exploits de Microsoft puede ser vulnerada

Hackers han encontrado una vulnerabilidad que permite activar una función específica en EMET que desactiva todas las protecciones que se usan para otras aplicaciones.

Investigadores de la firma de seguridad FireEye han encontrado un método por el cual los hackers podrían deshabilitar de forma fácil Microsoft Enhanced Mitigation Experience Toolkit ( EMET), una herramienta de protección utilizada por muchas compañías para reforzar sus equipos con Windows y aplicaciones contra exploits de software conocidos o desconocidos. Según conclusiones de la empresa, los exploits pueden introducir una función específica que deshabilitaría las protecciones que utiliza para otras aplicaciones. De esta manera, aprovecharían una función propia de EMET para atacar.

El funcionamiento de EMET se basa en la introducción de archivos DLL (Dynamic Link Libraries) en los procesos que afectan a las aplicaciones de terceros para los que está configurada la protección. Esto le permite monitorizar desde las llamadas a esos  procesos hasta las API críticas de sistema y determinar si son legítimos o el resultado de una vulnerabilidad .De esta manera es capaz de determinar si dichos procesos son legítimos o no. La herramienta también se encarga de introducir unos códigos que devuelven los procesos protegidos a su situación inicial sin causar daños y es precisamente en este punto el que los han descubierto los investigadores de FireEye que se puede volver al programa en su propia contra.

Los investigadores también descubrieron que los apartados que se han quedado más desprotegidos tienen que ver con errores de diseño e implementación y  algunos módulos o API. Métodos para desactivar las protecciones EMET por completo también se habían dado a conocer con anterioridad. Así pues esta no es la primera vez que se han detectado problemas con este sistema, aunque generalmente resultaba una tarea difícil para los piratas informáticos saltarse las protecciones. Desde su creación en 2009, EMET puede cumplir mecanismos modernos de mitigación de exploits como Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) o Export Address Table Access Filtering (EAF) para las aplicaciones, incluso las heredadas (legacy), que fueron construidas sin ella. Esta funcionalidad hace que sea mucho más difícil para los atacantes aprovechar las vulnerabilidades de las aplicaciones con el fin de poner en peligro los equipos de cómputo.

Para los expertos de FireEye, la técnica que pone a  EMET en contra de sí mismo, además de ser mucho más sencilla, también es más peligrosa  ya que a excepción de la última versión, la 5.5, las anteriores versiones 5.0, 5.1 y 5.2 pueden ser atacadas, incluyendo las que ya no son compatibles con los equipos, como 4.1.

Aunque Microsoft ya ha corregido el problema con  la versión  5.5, la mayoría de usuarios aún no han actualizado sus equipos. El motivo es que esta actualización estaba dirigida a hacer EMET compatible con Windows 10.  Por ello desde FireEye se recomienda actualizar cuanto a antes a la versión 5.5 para evitar futuros ataques. Aparte de ser compatible con Windows 10, la nueva versión mejora la configuración y la gestión de las protecciones.

-Toñi Herrero Alcántara

 

Microsoft alerta de ataques dirigidos contra Windows y Office

Windows parchado
Microsoft lanzó una herramienta FixIt para prevenir que la vulnerabilidad sea explotada.

Microsoft advirtió sobre posibles ciberataques contra una nueva vulnerabilidad detectada en varias versiones de Windows y Office, la cual podría permitir a un atacante controlar el equipo de un usuario.

La falla, que afecta a Windows Vista, a Windows Server 2008 y a Microsoft Office desde la versión 2003 a la 2010, se está utilizando como parte de ataques dirigidos con archivos adjuntos maliciosos que se están produciendo principalmente en Oriente Medio y Asia.

A falta de un parche, Microsoft lanzó una herramienta FixIt, que evita los intentos de explotar la vulnerabilidad.

Cómo actúa

En el comunicado publicado en su página web, Microsoft advirtió que “el exploit requiere interacción con el usuario, ya que el ataque se disfraza como un correo electrónico y se dirige a objetivos concretos, por medio del cual se solicita la apertura un archivo adjunto de Word especialmente diseñado.

Si el archivo adjunto es abierto o se emplea la vista previa, intentará aprovechar lavulnerabilidad empleando una imagen de gráficos con formato incorrecto incrustada en el documento. El atacante que aproveche esta vulnerabilidad, podría obtener los mismos derechos de usuario que el usuario conectado”.

Microsoft asegura que la vulnerabilidad no afecta a las versiones actuales de Windows, y que los usuarios que ejecuten productos potencialmente vulnerables pueden tomar un par de acciones con el fin de protegerse, como instalar de la herramienta FixIt y desplegar el Enhanced Mitigation Experience Toolkit (EMET), que ayuda a mitigar los exploits contra cierta clase de vulnerabilidades.