Un exploit generalizado esquiva las protecciones de Microsoft EMET

Los investigadores de FireEye que encontraron el exploit recomiendan que las compañías no confíen en EMET para retrasar los parches en los programas que son atacados frecuentemente.

seguridad_exploit

Malas noticias para las empresas. Los hackers han lanzado ataques a gran escala capaces de traspasar las protecciones de seguridad incorporadas por Microsoft’s Enhanced Mitigation Experience Toolkit (EMET), una herramienta que tiene como objetivo parar los exploits de software. Investigadores de seguridad de FireEye encontraron exploits en Silverlight y Flash Player diseñados para evitar las mitigaciones de EMET como las Data Execution Prevention (DEP), Export Address Table Access Filtering (EAF) y Export Address Table Access Filtering Plus (EAF+). Los exploits se han añadido recientemente en el kit de exploit Angler.

Angler es una de las herramientas de ataque más utilizadas por los cibercriminales para lanzar ataques de descarga no autorizada basados en web. Es capaz de instalar malware explotando vulnerabilidades en los navegadores de los usuarios o en los plug-ins de los navegadores cuando visitan sitios comprometidos o visualizan publicidad maliciosa.“La habilidad del Angler EK para esquivar las mitigaciones de EMET y explotar con éxito Flash y Silverlight, según nuestra opinión, es bastante sofisticada”, explicaron los investigadores de FireEye.

Lanzado en 2009, EMET puede aplicar modernos mecanismos de mitigación de exploits para aplicaciones de terceros – especialmente las heredadas- que se hayan construido sin ellos. Esto hace más dificil para los atacantes explotar vulnerabilidades en estos programas para comprometer ordenadores. Mientras que EMET se recomienda a menudo como defensa para exploits de día cero –exploits para vulnerabilidades desconocidas previamente- también ofrece a las compañías un margen de maniobra cuando se trata de la rapidez para aplicar parches a amenazas conocidas.

En entornos corporativas, el despliegue de los parches no se da automáticamente. Los parches para los sistemas operativos o programas autónomos deben ser priorizados, testados y sólo entonces, incluirlos en los ordenadores, un proceso que puede retrasar sustancialmente su instalación.Con estos ataques masivos capaces de eludir las mitigaciones de EMET, la herramienta no debería retrasar la protección de antiguas versiones de aplicaciones como Flash Player, Adobe Reader, Silverlight o Java, hasta que la compañía puede actualizarlos.

Desafortunadamente, las organizaciones se ven forzadas a veces a conservar versiones antiguas de los plug-ins de los servidores y otras aplicaciones instaladas en los terminales con tal de mantener las compatibilidades con las personalizaciones internas hechas en las aplicaciones web y que no se han reescrito en años.

 “Aplicaciones como Adobe Flash, navegadores web y Oracle Java deberían parchearse rutinariamente, priorizando parches críticos o eliminarlos si fuera posible”, aconsejaron los investigadores de FireEye. “Porque el navegador web juega un papel imporante en los procesos de infección, desabilitando los plugins del navegador para flash o Silverlight también se podría reducir la superficie del ataque del navegador”.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper