Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



La plateforme modulaire Microsoft EMET permet l'ajout de protections applicatives par processus sans nécessiter les codes source

Par Rédaction, secuobs.com
Le 28/10/2009


Résumé : Microsoft EMET (Enhanced Mitigation Evaluation Toolkit) est une plateforme modulaire et extensible permettant l'application de protections applicatives (DEP, SEH, ...) par processus et cela sans nécessiter d'avoir accès aux codes source des applications à protéger et donc sans recompilation.



Microsoft vient de publier EMET (Enhanced Mitigation Evaluation Toolkit), un outil visant à faciliter la mise en œuvre de protections spécifiques pour des applications déjà existantes et sans que celles-ci ne nécessitent d'être recompilées. Bien que de nombreuses protections applicatives existent déjà ( lien ) en ce sens, elles nécessitent néanmoins une intégration préalable à la compilation.

Cette intégration est de plus encore assez rare et bon nombre d'applications se révèlent être des vecteurs de compromission pour les systèmes d'exploitation sous-jacents. EMET tend donc à résoudre ce problème en permettant, à n'importe qui, l'ajout de protections à des applications fonctionnellement compatibles et cela de façon indépendante de leur provenance et de leurs auteurs.

Des risques d'incompatibilité existent néanmoins puisque certaines applications s'appuient justement sur l'environnement fonctionnel que ces protections sont censées bloquer. EMET se destine donc avant tout aux chercheurs en sécurité informatique et aux développeurs qui souhaitent identifier d'éventuels problèmes fonctionnels imputables à l'implémentation de ces protections.

Une mise en production reste cependant envisageable, à condition qu'un audit fonctionnel poussé ait été effectué préalablement. Concrètement, ces protections peuvent être ajoutées manuellement à l'aide d'un utilitaire spécifique en ligne de commandes, et donc sans nécessiter le code source de l'application à protéger. EMET fournit par ailleurs un haut niveau de granularité autorisant les applications par processus.

Dès lors, il ne s'avère pas impératif d'activer ces protections sur l'ensemble d'une application ou d'une suite d'applications. Une distinction qui peut s'avérer utile lorsqu'un processus ou plusieurs processus ne sont pas compatibles. Il est en ce sens possible de n'activer les protections EMET, pas forcément toutes, que pour le ou les processus qui ne se trouvent pas être à l'origine d'un problème d'ordre fonctionnel.

A noter que les utilisateurs bénéficient des protections EMET sans avoir à mettre à jour leurs systèmes d'exploitation. EMET est un outil temps réel conçu pour recevoir ses propres mises à jour, autant pour les protections déjà existantes que pour les nouvelles à venir. Il permet de profiter des dernières avancées en termes de protection sans avoir à attendre les mises à jour des applications qu'ils protègent.

EMET fournit donc une plateforme modulaire et extensible, où quatre protections distinctes sont inclues dès à présent. A savoir SEHOP ( Structured Exception Handling Owerwrite Protection - lien ), Dynamic DEP (Data Execution Prevention - lien ) pour les corruptions de mémoire, NULL page allocation ( lien ) en mode utilisateur et Heap spray allocation pour les attaques par Heap spraying ( voir Nozzle - lien ).

Télécharger EMET v1.0.2 ( lien )

Source : Security Research Defense ( lien )