Alcuni ricercatori sconfiggono le difese dell'antiexploit Microsoft EMET

Acronimo di “Enhanced Mitigation Experience Toolkit“, EMET è un software gratuito, sviluppato dai tecnici Microsoft, che consente di impiegare alcune famose funzionalità di protezione offerte dalle più recenti versioni di Windows estendendone l’utilizzo alle applicazioni di terze parti, anche alle più “datate”.

Il software è capace di “mitigare” le conseguenze dei cosiddetti attacchi “zero day” ossia degli attacchi informatici che hanno inizio “nel giorno zero”, nel momento in cui è scoperta una falla di sicurezza in un programma specifico.
Questo tipo di aggressioni, se ben studiate, possono mietere molte vittime proprio poiché il produttore dell’applicazione vulnerabile non ha evidentemente ancora avuto il tempo di rilasciare una patch correttiva.

EMET (vedere gli articoli Ecco EMET 4, per proteggere le applicazioni più datate, Bloccare i malware abilitando la funzionalità SEHOP in Windows e Proteggersi dai nuovi malware e dagli attacchi con Anti-Exploit) agisce a livello preventivo bloccando sul nascere i tentativi d’attacco basati sullo sfruttamento di falle di sicurezza presenti nei vari software.

Si tratta di una delle applicazioni sulle quali Microsoft ha voluto porre l’accento in modo deciso perché, soprattutto in ambienti professionali, consente di ripararsi da problematiche di sicurezza che possono mettere a rischio l’intera infrastruttura aziendale.
EMET, tra l’altro, è il software che i tecnici di Microsoft consigliano di utilizzare nel momento in cui viene scoperta una grave lacuna di sicurezza nelle applicazioni sviluppate e commercializzate dalla società. Anche di recente, nell’attesa che Microsoft rilasciasse gli aggiornamenti correttivi, Microsoft ha più volte raccomandato l’utilizzo di EMET per mettersi al riparo da quei codici exploit che bersagliano alcune pericolose vulnerabilità individuate in Internet Explorer.

Il rilascio della nuova versione di EMET, probabilmente la quinta, è atteso per questa settimana – in occasione della conferenza organizzata da RSA -. A “rompere le uova nel paniere”, però, ci hanno pensato i ricercatori di Bromium Labs spiegando di aver sviluppato codice exploit capace di annullare e scavalcare tutte le restrizioni imposte da EMET. La presentazione dello studio dovrebbe essere pubblicata a breve anche se l’azienda ha comunicato di aver già preso accordi con Microsoft affinché il problema venga tempestivamente sanato, probabilmente in tempo per il rilascio della nuova release di EMET.

EMET, osserva comunque Rahul Kashyap – uno degli esperti di Bromium Labs – ha comunque avuto il grande merito di aver sollevato notevolmente l’asticella costringendo gli autori di malware a notevoli sforzi aggiuntivi. Alcuni “malware writers” hanno addirittura dotato le loro “creature” di moduli di scansione che vanno alla ricerca delle presenza, sul sistema, delle librerie di EMET. Nel caso in cui queste dovessero essere rilevate, l’esecuzione del codice dannoso viene immediatamente interrotta.

Secondo Marco Giuliani, CEO dell’italiana Saferbytes, la ricerca condotta da Bromium Labs non è l’unica e ancora una volta dimostra “come prevenire attacchi exploit non sia un processo fatto di un solo step, ma necessiti di un approccio a più livelli, distribuiti, per poter prevedere sempre il caso peggiore e predisporre le giuste contromisure prima che il danno possa diventare reale“. Giuliani riconosce che “EMET è una componente fondamentale nella sicurezza dei nuovi sistemi operativi – principalmente a partire da Windows Vista in poi – ma non bisogna mai abbassare la guardia, dotando quindi i software più esposti ad attacchi con sistemi di sandboxing“, senza ovviamente tralasciare l’utilizzo di soluzioni antimalware efficaci, siano esse centralizzate o meno.

Gli organizzatori della competizione Pwn2Own, organizzata annualmente, hanno addirittura messo in palio la somma di 150.000 dollari che verrà consegnata a chi, per primo, dimostrerà di aver bypassato le difese dell’ultima versione di EMET installato su di un sistema Windows 8.1 con Internet Explorer 11.