• EMET 4.0 Capaz de Detectar Espiões SSL

    Publicado em 27-06-2013 11:30
    0 Comentários Comentários
    A Microsoft andou ensinando alguns truques novos na versão 4.0 de sua ferramenta de mitigação do Windows, o EMET. Agora, essa ferramenta já é capaz de detectar ataques que tentam interceptar conexões criptografadas, e já está melhor em evitar ataques de programação de retorno orientado (ROP - Return-Oriented Programming). Entretanto, a maior de todas as mudanças é cosmética: o EMET 4.0 reprojetou a interface de usuário tornando-a muito mais fácil de utilizar. Como resultado, uma ferramenta de mitigação como essa deve parecer menos intimidante para usuários com menor conhecimento técnico.


    O novo wizard de configuração significa que os usuários não mais precisarão ser especialistas em segurança para ativa as funcionalidades de proteção de chave.

    Após a instalação, a ferramenta apresenta um wizard de configuração, que pode ser utilizado para as configurações de segurança por chave com apenas alguns cliques do mouse. Essa configuração básica inclui a proteção de profiles para programas populares como Java, Adobe Reader e Office. Isso ativa várias funcionalidades de bloqueio de exploit, que são capazes de prevenir muitos ataques cibernéticos, inclusive quando os ataques tem como alvo vulnerabilidades ainda não corrigidas via patch. A nova versão também oferece uma proteção melhorada contra exploits ROP.

    O EMET 4.0 também pode aticar o SSL Certificate Pinning para o navegador Internet Explorer. Isso envolve a ativação de uma whitelist especificando quais autoridades certificadoras (CA - Certificate Authority) são permitidas para emitir certificados SSL para domínios específicos. Se, no caso de acesso a um domínio, um certificado de outro CA for oferecido, a ferramenta de mitigação apresenta um alerta - mesmo se o certificado for proveniente de um CA que o Windows normalmente confia.


    Um exemplo de certificado genuíno e CA falso. O CA que emitir seu certificado SSL para Paypal.com não está na whitelist.

    É muito raro para os principais serviços web como Paypal, Google e Twitter trocarem o CA para seus certificados SSL. Assim sendo, no caso de uma visita ao Google.com, um certificado não proveniente do GeoTrust ou Verisign, mas sim de outro CA mais obscuro for apresentado, existe uma grande chance de que alguém está tentando te enganar. No passado, certificados SSL falsos eram frequentemente utilizados para vigilância governamental.

    O navegador proprietário Chrome do Google já possui de longa data um verificador de certificados, mesmo sabendo que a whitelist do Chrome é hard-coded. O mesmo já se mostrou eficaz até mesmo em detectar alguns certificados impróprios emitidos para o Google.com.

    No EMET também vem embarcada uma funcionalidade de Early Warning, porém de benefício relativamente indireto. Se ativada, o EMET envia dados telemétricos nos ataques bloqueados para a Microsoft, oferecendo a companhia alertas prévios de ataques contra SSL do tipo zero-day ou man-in-the-middle. E por último, mas não menos importante, a Microsoft informa que seus desenvolvedores corrigiram todos os problemas de compatibilidade conhecidos e atualizaram o EMET para que o mesmo trabalhe junto ao internet Explorer 10 e Windows 8.

    Saiba Mais:

    - Heise Online: EMET 4.0 catches SSL spies (em Inglês)
    + Enviar Comentário