Несмотря на проблемы, не слишком ли рано Microsoft отказывается от своего инструмента безопасности EMET?
Недавний выпуск WikiLeaks документов, предположительно исходящих от Центрального разведывательного управления, демонстрирует способность агентства обходить широко используемые инструменты корпоративной безопасности, такие как Microsoft Enhanced Mitigation Experience Toolkit (EMET).
К сожалению, информация в документе об EMET была отредактирована WikiLeaks, поэтому мы не можем сказать, как ЦРУ удается обойти инструмент безопасности.
Microsoft описывает EMET как «утилиту, которая помогает предотвратить успешное использование уязвимостей в программном обеспечении… с помощью технологий снижения безопасности». Эти технологии функционируют как специальные средства защиты и препятствия, которые автор эксплойта должен преодолеть, чтобы использовать уязвимости программного обеспечения».
Инструмент безопасности особенно полезен для корпоративных клиентов Microsoft, поскольку развертывание новых версий Windows в крупномасштабных средах может занять годы, что делает предприятия уязвимыми для уязвимостей нулевого дня. EMET был разработан как инструмент для предотвращения атак нулевого дня и других сложных атак между обновлениями ОС.
Разоблачения WikiLeaks об обходе ЦРУ EMET пополняют список организаций, которым удалось обойти его защиту. В 2014 году Bromium Labs объявила о разработке кода эксплойта, обходящего EMET 4.1. Исследователи заявили, что в их байпасе использовались «общие ограничения» инструмента, и его было «сложно исправить».
В прошлом году исследователи FireEye отключили EMET, воспользовавшись функцией в инструменте, которая отвечает за его выгрузку из приложения после того, как оно определило, что приложение не является вредоносным. Исследователи объяснили, что «нужно просто найти и вызвать эту функцию, чтобы полностью отключить» инструмент безопасности.
Выдергивание вилки на EMET
Эти и другие эксплойты, а также усиленные средства защиты в Windows 10 побудили Microsoft отключить EMET. Первоначально Microsoft планировала прекратить поддержку инструмента безопасности в январе, но решила отложить его прекращение до 31 июля 2018 года в ответ на отзывы клиентов.
В своем блоге в ноябре прошлого года Джеффри Сазерленд, главный руководитель программы безопасности ОС в Microsoft, сообщил, что его фирма внедрила функции безопасности EMET в Windows 10. Эти функции включают предотвращение выполнения данных (DEP), рандомизацию расположения адресного пространства (ASLR), и защита потока управления (CFG).
Сазерленд указал на ряд ограничений инструмента EMET. Во-первых, он разрабатывался не как «надежное решение для обеспечения безопасности», а скорее как «временное решение» для блокировки эксплойтов нулевого дня между обновлениями Windows. В результате существует ряд «хорошо разрекламированных обходных путей, позволяющих обойти EMET», — отметил он.
Во-вторых, инструмент безопасности «подключается к низкоуровневым областям» Windows, но операционная система не предназначена для такого использования. Это приводит к ухудшению производительности и надежности Windows и запущенных на ней приложений. Это вызывает «постоянную проблему для клиентов, поскольку каждое обновление ОС или приложения может вызвать проблемы с производительностью и надежностью из-за несовместимости с EMET», — написал он.
В-третьих, EMET не поспевает за изменениями в Windows, особенно в Windows 10. Хотя последняя версия 5.5x может работать в Windows 10, «её эффективность против современных наборов эксплойтов не была продемонстрирована, особенно по сравнению со многими нововведениями». встроен в Windows 10». Так что пришло время закрыть инструмент безопасности, заключил Сазерленд.
Подожди минутку
Не так быстро, считает Уилл Дорманн, старший аналитик по уязвимостям в Координационном центре CERT. В сообщении в блоге, реагирующем на решение Microsoft EMET, Дорманн утверждал, что Windows 10 «не обеспечивает дополнительной защиты, которую обеспечивает EMET».
Реальная дополнительная ценность инструмента заключается в средствах защиты для конкретных приложений, предоставляемых EMET. «Поскольку мы не можем полагаться на то, что все поставщики программного обеспечения создадут код, использующий все доступные средства защиты от эксплойтов, EMET возвращает этот контроль в наши руки», — отметил Дорманн. Приложение, «работающее в стандартной системе Windows 10, не имеет такой же защиты, как приложение, работающее в системе Windows 10 с правильно настроенным EMET», — добавил он.
В эксклюзивном интервью TechGenix Дорманн сказал, что предприятия должны использовать этот инструмент для защиты от определенных классов уязвимостей. «Инструмент EMET весьма эффективен для защиты от использования уязвимостей повреждения памяти, которые представляют собой целый класс программных ошибок», — сказал он.
Дорманн раскритиковал Microsoft за объявление о прекращении поддержки инструмента безопасности, потому что некоторые предприятия решили не развертывать инструмент или даже удалить его, если он был развернут. «Одним из наиболее полезных аспектов EMET является то, что я могу взять приложение, работающее в моей системе, и указать EMET, чтобы обеспечить ему дополнительную защиту…. Если вы просто обновитесь до Windows 10, у вас не будет такой возможности», — сказал он.
В то же время Дорманн согласился с тем, что встроенные средства защиты в Windows 10 «ценны», но не все корпоративные приложения «выбирают» эти средства защиты. Напротив, администратор может использовать EMET, чтобы «заставить» приложение включить средства защиты.
Windows 7 и ЕМЕТ
В качестве примера Дорманн рассказал, что взял полностью пропатченную систему Windows 10 и смог использовать уязвимость в браузере Firefox. «В Windows 10 не было ничего, что мешало бы работе эксплойта Firefox», — заметил он. Тем не менее, он смог заблокировать этот эксплойт, используя систему Windows 7 и EMET.
«Это прекрасный пример того, как EMET может защитить систему, когда средства защиты по умолчанию, поставляемые с Windows 10, могут не защитить вас», — сказал Дорманн. С помощью инструмента безопасности «вы больше не зависите от милости разработчика программного обеспечения, который должен делать правильные вещи для вашей защиты», — добавил он.
Кроме того, пользователи не обязательно спешат перейти на Windows 10. Согласно последней статистике Net Market Share, почти половина ПК все еще работает под управлением Windows 7, и только четверть — под управлением Windows 10. Общеизвестно, что предприятия работают медленно. в обновлении из-за дополнительных затрат, проблем совместимости приложений, предпочтений сотрудников и других факторов, которые мешают ИТ-администраторам выполнять масштабный проект.
«Нельзя предполагать, что все используют последнюю версию Windows 10 и последнюю версию каждого приложения. Это неточное представление о том, как работают эти системы», — заметил Дорманн. «Правильно настроенная система с EMET позволяет ИТ-администраторам выиграть время… и свести к минимуму «окно воздействия» между эксплойтом уязвимости в дикой природе и развертыванием исправления уязвимости от поставщика», — подчеркнул он.
В общем, похоже, что ЦРУ — не единственная организация, которая может обойти инструмент EMET. Даже Microsoft признает свои ограничения и планирует прекратить поддержку инструмента в следующем году. Тем не менее, EMET по-прежнему обеспечивает важные средства защиты для корпоративных пользователей, которых нет в Windows 10. А поскольку многие предприятия еще не используют Windows 10, средства защиты EMET как никогда важны для ИТ-администраторов и специалистов по безопасности.