EMET v2: L’outil de protection ultime de Microsoft contre les failles critiques des applications tiers.

septembre 13, 2010
EMET ou Enhanced Mitigation Experience Toolkit est un outil mis au point par Microsoft dont l’objectif est de fournir une protection contre l’exploitation de failles critiques découvertes sur des applications tiers (Acrobat, Office, ….).

Par exploitation, il faut comprendre l’utilisation de la faille par du code malveillant.

Vu le temps que peut prendre le développement d’un correctif et au vu de la criticité de certaines failles, Microsoft a mis au point un outil permettant d’isoler l’application de 6 types d’exploitations (mitigation):

  1. Dynamic Data Excecution Prevention (DEP)
  2. Structure Exception Handler Overwrite Protection (SEHOP)
  3. Heap Spray Allocation
  4. Null Page Allocation
  5. Export Address Table Access Filtering
  6. Mandatory Address Space Layout Randomization (ASLR)

Certains type d’exploitations peuvent être détecté par l’OS (DEP depuis Windows XP, SEHOP depuis Windows Vista) et mettre en place une politique de protection, mais d’autres non.

C’est dans ce cadre que cet outil a été mis à disposition.

Voici un exemple de son utilisation une fois le produit installé:

C:\Program Files (x86)\EMET>emet_conf.exe --add "c:\program files (x86)\Adobe\Reader 9.0\Reader\acrord32.exe"

Dès lors, lorsque cette application sera lancée, emet surveillera l’utilisation de la mémoire par l’application et si une des 6 méthodes d’exploitation est détectée, il rentrera en action pour protéger le poste de travail de toutes tentatives malveillante.

Je trouve que cet outil manque un peu de visibilité car il me semble qu’il est encore assez peu connu, d’où la raison de cet article. :-)

Je vous invite donc à prendre connaissance des détails ici.

Source:

Technet Blog

Enjoy!!!!

It's only fair to share...Share on Facebook

Leave a Reply