Microsoft ha desenvolupat la ferramenta EMET (Enhanced Mitigation Experience Toolkit) perquè l’usuari puga protegir el seu equip afegint capes de seguretat a les aplicacions. Encara que es pot considerar una eina per a tècnics, tot usuari pot utilitzar-la seguint indicacions precises per a casos concrets.
A mesura que es desenvolupen noves tècniques de seguretat (DEP, ASLR, etc.) els fabricants de programari han d’anar incorporant-les als seus productes per a evitar els freqüents atacs informàtics. No obstant això, per inèrcia, moltes aplicacions no apliquen les noves tècniques i continuen sent vulnerables a distintes amenaces.
EMET (disponible per a les versions de Windows actuals: XP SP 3, Vista, W7, 2003 y 2008) permet afegir les noves tècniques a qualsevol aplicació, sense necessitat de comptar amb el codi ni recompilar amb diferents opcions.
Com exemple, anem a veure com utilitzar EMET per a protegir-nos de les últimes vulnerabilitats d’Adobe Reader. Aquestes vulnerabilitats no estan solucionades pel fabricant i es té constància d’atacs actius que s’aprofiten de les mateixes.
El primer pas consistirà a descarregar i instal·lar EMET (l’aplicació es troba disponible únicament en anglès).
Quan executem EMET obtindrem una finestra semblant a la següent:
Les opcions i processos que es mostren depenen del Sistema Operatiu i de l’equip en el qual instal·lem la ferramenta.
Per a aplicar les capes de protecció a Adobe Reader haurem d’entrar en l’opció ‘Configure Apps‘:
Amb el botó ‘Add‘ podrem cercar l’executable de Adobe Reader, que s’anomena AcroRd32.exe i, normalment, es troba en la ruta C:\Archivos de Programa\Adobe\Reader 9.0\Reader. Com a mínim haurem d’activar la protecció EAF i MandatoryASLR (aquesta última només està present en versions posteriors a Windows XP i 2003):
Una vegada acceptada la configuració, serà necessari tancar Adobe Reader (si estiguera obert) i tornar a posar-lo en marxa.. Ordenant per la columna de ‘Process Name‘ podrem veure que ja tenim protegit Adobe Reader amb EMET:
Si l’aplicació no funcionara com cal amb aquesta protecció, sempre seria possible desactivar EMET. Però és molt recomanable mantindre la configuració proposada fins que Adobe traga una actualització que corregisca aquests problemes.