Il y a plusieurs années, Microsoft a publié le Boîte à outils d’expérience d’atténuation améliorée (EMET), un outil gratuit qui peut aider les utilisateurs de Windows à renforcer la sécurité des applications tierces. Cette semaine, Microsoft a fait ses débuts EMET 4.0qui comprend de nouvelles protections de sécurité importantes et des correctifs de compatibilité pour cet outil de sécurité discret mais efficace.
La fenêtre principale d’EMET 4.0
Tout d’abord, un bref aperçu de ce que fait EMET. EMET permet aux utilisateurs de forcer les applications à utiliser plusieurs défenses de sécurité clés construit dans les fenêtres – y compris Randomisation de la disposition de l’espace d’adressage (ASLR) et Prévention de l’exécution des données (DEP). En termes simples, DEP est conçu pour rendre plus difficile l’exploitation des vulnérabilités de sécurité sur Windows, et ASLR rend plus difficile pour les exploits et les logiciels malveillants de trouver les endroits spécifiques dans la mémoire d’un système dont ils ont besoin pour faire leur sale boulot.
EMET peut forcer une application non Microsoft à exécuter ASLR sur chaque composant qu’elle charge, que le programme le veuille ou non. Veuillez noter qu’avant d’installer EMET, vous devez avoir Microsoft .RAPPORTER Plateforme Framework 4 installée. Et bien qu’EMET travaille sur Windows XP (Service Pack 3 uniquement), les utilisateurs de XP ne peuvent pas profiter de l’ASLR obligatoire et de quelques autres protections notables incluses dans cet outil.
Cependant, EMET comprend plusieurs fonctions de sécurité importantes qui pouvez aider à fortifier les applications tierces sur XP. À savoir, sa « protection structurée contre l’écrasement du gestionnaire d’exceptions », ou Protection SEHOPqui protège contre la technique la plus courante d’exploitation débordements de pile sur Windows. Microsoft affirme que cette atténuation est livrée avec Windows depuis Windows Vista Service Pack 1.
En plus d’une interface utilisateur révisée, EMET 4.0 comprend une poignée de nouvelles fonctionnalités qui ont été regroupées avec le Version d’aperçu technique 3.5telles que de nouvelles méthodes de blocage d’une technique d’exploitation appelée programmation orientée retour (ROP). Les attaquants peuvent tirer parti de ROP pour contourner les protections DEP en utilisant des extraits de code déjà présents dans l’application ciblée.
L’un des plus médiatisés nouvelles capacités d’EMET 4.0 est sa fonctionnalité de « certificat de confiance », qui est conçue pour bloquer les attaques dites « man-in-the-middle » qui exploitent les certificats SSL contrefaits dans le navigateur. Au cours des dernières années, plusieurs attaques ont usurpé l’identité de fournisseurs de messagerie Web et d’autres destinations Internet de premier plan à l’aide de certificats numériques frauduleux obtenus par des autorités de certification, notamment Comodo, ChiffreNotar et Turktrust. Cette fonctionnalité est une bonne idée, mais elle semble quelque peu maladroite à mettre en œuvre et ne fonctionne que pour protéger les utilisateurs qui naviguent sur le Web avec Internet Explorer. Pour obtenir des conseils sur la configuration et l’utilisation de cette fonctionnalité d’EMET, consultez ce post.
Pour continuer avec EMET, télécharger le programme et installez-le (si vous effectuez une mise à niveau à partir d’une ancienne version d’EMET, désinstallez d’abord l’ancienne version avant de procéder à l’installation d’EMET 4.0). Cette nouvelle version d’EMET offre aux utilisateurs la possibilité d’autoriser la protection automatique d’un groupe prédéfini d’applications par EMET, notamment Java, Adobe Acrobat, Internet Explorer et toutes les applications Office pouvant être installées. Alternativement, les utilisateurs peuvent partir de zéro et sélectionner leurs propres applications à mettre derrière EMET.
Pour envelopper la protection d’EMET autour d’un programme – disons, MozillaFirefox – lancez EMET et cliquez sur le bouton « Apps » dans la partie supérieure de la fenêtre principale d’EMET. La sélection du bouton « Ajouter une application » dans la case suivante fait apparaître une invite de sélection de programme ; accédez à C:Program Files (x86)Mozilla Firefox, puis ajoutez le fichier « firefox.exe ». Il devrait être correct d’accepter toutes les valeurs par défaut qu’EMET ajoute pour vous.
Pendant que vous y êtes, ajoutez le reste de vos applications Internet les plus utilisées. Mais allez-y doucement et évitez la tentation d’apporter des modifications à l’ensemble du système. La modification des paramètres par défaut du système à tous les niveaux – comme la modification des paramètres ASLR et DEP à l’aide de l’onglet « Configurer le système » – peut entraîner des problèmes de stabilité et de démarrage.
J’utilise EMET sur un système Windows 7 64 bits et j’installe progressivement certaines de mes applications les plus utilisées une par une avec le bouton « configurer les applications » juste pour m’assurer que la sécurité supplémentaire ne bloque pas les programmes. Le forum de support de Microsoft a un fil utile sur les applications qui peuvent ne pas fonctionner correctement avec les paramètres de protection par défaut d’EMET.
Par exemple, une poignée d’applications tomberont simplement en panne ou ne fonctionneront pas avec l’atténuation du « filtrage d’accès à la table d’adresses d’exportation » (EAF) d’EMET activée. Skype est un exemple bien connu ici. J’ai également rencontré des problèmes avec l’exécution d’EAF sur Google Chrome.
C’est vraiment là que la discrétion d’EMET peut être une bénédiction et une malédiction. Contrairement à certains outils de sécurité et antivirus qui affichent périodiquement des avertissements ou des notifications ennuyeux pour vous faire savoir qu’ils sont toujours là et qu’ils font leur travail, EMET est susceptible de faire son travail inaperçu par la plupart des utilisateurs. Je dis malédiction parce qu’à une occasion (je ne me souviens plus du nom de l’application en question), j’ai passé quelques jours à me gratter la tête sur une application qui ne fonctionnerait pas correctement, pour me rappeler plus tard que je l’avais réglée sur utiliser EMET des mois avant.
Si vous avez des questions sur EMET ou rencontrez des problèmes avec le programme, consultez la page de support Microsoft pour EMETqui vous permet de soumettre des questions à la communauté des utilisateurs si vous ne voyez pas votre problème traité dans un fil de discussion précédent.
Le tableau ci-dessus indique quelles protections spécifiques au système et à l’application dans EMET 4.0 sont disponibles pour chaque version prise en charge de Windows. Visiter ce lien pour télécharger EMET 4.0, ainsi qu’un guide d’utilisation détaillé sur le logiciel.