EMET 3.5: Microsoft aggiunge una nuova protezione

I tecnici di Microsoft hanno annunciato di aver inserito in EMET (acronimo di “Enhanced Mitigation Experience Toolkit“) – il software gratuito che consente di impiegare alcune famose funzionalità di protezione offerte dalle più recenti versioni di Windows estendendone l’utilizzo alle applicazioni di terze parti, anche le più “datate” – il supporto per uno strumento che permette di fidare su di un livello di protezione aggiuntivo. L'”ispirazione” che ha portato all’aggiunta della nuova funzionalità è figlia del lavoro condotto da Ivan Frantic, vincitore del concorso BlueHat Prize, organizzato dal colosso di Redmond e riservato ai ricercatori esperti in materia di sicurezza informatica.

EMET 3.5 Technology Preview include quindi un nuovo strumento di difesa basato sull’impiego della tecnologia Return Oriented Programming (ROP) grazie all’impiego della quale si può scongiurare l’esecuzione di talune tipologie di codice maligno.
ROP consente di combinare piccole porzioni di codice legittimo, già in uso sul sistema, per compiere operazioni malevole. Frantic ha presentato un’interessante metodologia che dà modo di individuare ogniqualvolta vengano sfruttate determinate funzioni nell’ambito di operazioni ROP potenzialmente dannose.

Marco Giuliani, direttore della società di sicurezza italiana ITSEC, spiega che “grazie a tecnologie per la prevenzione di exploit, quali ASLR e DEP, gli attacchi causati dallo sfruttamento di vulnerabilità nei software è diventato sempre più difficile, ma non impossibile“. Si tratta di un aspetto essenziale da rammentare dal momento che “spesso si confonde l’utilizzo di tali tecnologie con la panacea di tutti i mali. Se è vero che è indispensabile l’impiego contemporaneo di DEP e ASLR – il DEP senza l’ausilio di ASLR diventa sostanzialmente inutile – bisogna altresì ricordare come anche lo stesso ASLR sia aggirabile tramite l’ausilio di attacchi basati su tecniche di Return Oriented Programming (ROP)“.

Giuliani spiega come gli attacchi basati su tecniche di ROP non siano affatto nuovi: “sono meno conosciuti con questo nome perché sono la macrofamiglia, molto più generica, di una specifica tipologia di attacco ben più nota: gli attacchi ret2libc, o return-to-libc. Le aggressioni sono divenute sempre più sofisticate e gli attacchi ROP vengono oggi sfruttati in quanto capaci di orientare il flusso di esecuzione del codice originale a proprio piacimento“.

Microsoft ha dichiarato che la tecnologia proposta da Frantic ha richiesto circa tre mesi di lavoro per poter essere implementata.
Non è dato sapere l’importo in denaro che il colosso di Redmond corrisponderà al ricercatore: il primo premio nell’ambito del concorso BlueHat Prize è infatti pari a 200.000 dollari.

Maggiori informazioni sul funzionamento del software EMET sono disponibili facendo riferimento all’articolo Bloccare i malware abilitando la funzionalità SEHOP in Windows.