EMET: эволюция

По мере того, как 0day-уязвимости начинают восприниматься как главная угроза, на первый план выходят и средства борьбы с ними. И EMET здесь является эталонным во всех смыслах.

Поясню свою мысль. С одной стороны, Microsoft все чаще упоминает EMET как эффективное средство защиты от новых (т.е. к которым невозможно было подготовиться) уязвимостей, а независимые вендоры стали вооружаться аналогичными методиками – вот один из последних примеров. С другой, EMET сам по себе становится объектом атак и хакерских исследований. Последняя ссылка демонстрирует попытку блокировать EMET, т.е. не обойти какие-то его отдельные механизмы, а «вырубить» полностью. Это своего рода признание. Подобное когда-то происходило с наиболее популярными антивирусами (я сам был свидетелем отдельных инцидентов), когда они еще воспринимались всерьез.

Очевидно, перед нами новый пример борьбы «брони и снаряда». Поэтому за развитием EMET стоит следить. В настоящее время в разработке находится версия 5.0, на которую все упомянутые выше ухищрения не действуют. Я как-то коротко упоминал главные нововведения, теперь могу добавить конкретики.

Одна из проблем для решений типа EMET – контроль за всевозможными подключаемыми модулями. К примеру, EMET 4.1 не справляется даже с достаточно старыми уязвимостями Java. Невозможно объять необъятное и не стоит рассчитывать на панацею. Но можно попытаться минимизировать риски или, как говорят в ИБ, поверхность атак. Именно так и называется один из новых механизмов EMET 5.0 – Attack Surface Reduction (ASR).

Смысл его достаточно прозрачен – ограничить использование подключаемых модулей для ненадежных, в терминах стандартных зон безопасности Windows, источников. К примеру, ту же Java можно будет использовать в локальной сети и на доверенных сайтах, но не в остальном Интернете. Таким образом, хотя EMET 5.0 по-прежнему не замечает атаку на уязвимость CVE-2013-2465, он способен остановить ее просто потому, что Java запускается с неизвестного сайта.

В текущей версии EMET 5.0 TP3 для настройки ASR (и некоторых других механизмов) появился специальный набор инструментов (раньше это предлагалось делать через реестр).