Enhanced Mitigation Experience Toolkit è un tool gratuito targato Microsoft che impiega le funzionalità di protezione di Windows estendendone le funzionalità a software di terze parti.
Il mantenere le applicazioni sempre aggiornate, mediante l’installazione di patch ed aggiornamenti, è divenuta quindi una necessità sempre più pressante. Nel caso in cui si dovesse subire un attacco prima di aver messo in sicurezza i vari software in uso sui propri sistemi, le conseguenze potrebbero essere devastanti (infezione da malware, perdite di dati, sottrazione di informazioni personali, elevati costi in termini di produttività e perdite di profitto).
Le tecnologie per la riduzione dei rischi sono pensate per rendere più difficile, per un aggressore, sfruttare le vulnerabilità di sicurezza insite in un qualunque software.
In questo senso può risultare utile EMET (Enhanced Mitigation Experience Toolkit) è un’applicazione gratuita che consente di impiegare alcune famose funzionalità di protezione offerte dalle più recenti versioni di Windows estendendone l’utilizzo alle applicazioni di terze parti, anche le più “datate”
Il software, sviluppato nei laboratori di Microsoft e da poco giunto alla versione 2.0, può essere sfruttato per elevare le difese di programmi ormai obsoleti offrendo alcuni vantaggi:
- non c’è bisogno del codice sorgente di alcun programma. EMET, a differenza di tecnologie come DEP (Data Execution Prevention) non necessita del codice sorgente di un’applicazione e di una successiva sua ricompilazione.
- configurazione molto flessibile. EMET offre la possibilità di applicare politiche per la riduzione del rischio a singole applicazioni od a specifici processi. Non c’è quindi bisogno di attivare la protezione di EMET su un’intera suite di programmi ma è possibile restringere l’azione ad un singolo componente software.
- possibilità di “irrobustire” le applicazioni più datate. EMET è concepito per proteggere soprattutto quei programmi che talvolta non sono più supportati dal rispettivo produttore. E’ cosa comune, soprattutto nelle realtà aziendali, doversi trovare a che fare con applicazioni obsolete che non godono più di aggiornamenti periodici. Mentre si valuta il passaggio a soluzioni software più recenti, si può pensare di impiegare EMET per scongiurare rischi di infezione derivanti ad esempio dalla presenza di vulnerabilità note ma non sanate.
L’interfaccia grafica di cui è dotato EMET rende molto più semplice l’individuazione delle applicazione da “proteggere” e non è necessario alcun intervento sulla configurazione del registro di sistema di Windows.
Microsoft ricorda che l’applicazione di alcune tecnologie di sicurezza su talune applicazioni potrebbe inibirne irrimediabilmente il funzionamento. E’ quindi caldamente consigliato testare con attenzione le modifiche applicate su sistemi di prova preparati “ad hoc” prima di estendere il medesimo intervento sulle macchine usate in produzione.
EMET è compatibile con Windows XP SP3, Windows Vista SP1 e successivi, Windows 7. Per quanto riguarda i sistemi server, Microsoft assicura la compatibilità dell’utility con Windows Server 2003 SP1 e successivi, Windows Server 2008 e Windows Server 2008 R2.
Non tutti gli interventi sono però applicabili su tutte le versioni di Windows. La tabella che segue (fonte: Microsoft), riassume quali tecnologie sono utilizzabili, facendo leva su EMET, nelle varie versioni di Windows:
Sui sistemi a 64 bit, alcuni interventi a livello di singola applicazione sono permessi solo per quanto riguarda l’esecuzione di processi a 32 bit.
Come si evince dalla tabella, EMET supporta numerose funzionalità di protezione. Ciascuna di esse richiede una trattazione specifica che rimandiamo alla prossima puntata del nostro articolo.
Per adesso ricordiamo semplicemente che DEP (Data Execution Prevention) è una difesa capace di marcare tutte le locazioni di memoria associate ad un determinato processo come non eseguibili a meno che le stesse celle non contengano codice.
Qualora si tenti di accedere ad una cella di memoria “dati”, l’operazione verrà bloccata sollevando un’eccezione (status access violation) quindi terminerà il processo “incriminato”.
Per il momento vediamo come si presenta la schermata principale di EMET e verifichiamo quali impostazioni il software mette a disposizione. A seconda della versione di Windows in uso, EMET – una volta avviato – mostrerà le funzionalità di protezione attivabili sul sistema.
La finestra mostra lo stato delle protezioni mentre cliccando su Configure system è possibile attivare le difese a livello di sistema (sui componenti già conosciuti da EMET) oppure abilitarle solamente per singole applicazioni (pulsante Configure apps).
Ogni intervento richiede il riavvio del sistema operativo (la necessità di effettuare l’operazione viene ricordata mediante un messaggio mostrato nella finestra principale del programma oltre che con una finestra di dialogo alla chiusura di EMET).