Vue d’ensemble de la trousse Enhanced Mitigation Experience Toolkit de Microsoft

Numéro : TR13-001
Date : 27 février 2013

Public cible

Le présent rapport technique est rédigé à l'intention des professionnels et gestionnaires de la TI des gouvernements fédéral, provinciaux et territoriaux ainsi que des administrations municipales, des industries à infrastructure critique et autres industries connexes. Les personnes ayant obtenu le présent produit peuvent le divulguer aux intervenants techniques dans leur organisme.

Objectif

Le présent rapport technique vise à fournir au personnel de la sécurité de la TI une vue d'ensemble de la trousse Enhanced Mitigation Experience Toolkit (EMET) de Microsoft. Il est destiné aux administrateurs de système, aux centres d'opération de sécurité informatique et aux autres groupes technologiques concernés.

Contexte

La trousse EMET est un utilitaire développé par Microsoft, qui aide à protéger les plateformes de système d'exploitation (SE) Windows contre l'exploitation de vulnérabilités. Pour ce faire, il utilise une série de technologies d'atténuation en matière de sécurité. Il ne peut pas remplacer les solutions de sécurité de l'information, mais sert plutôt de supplément aux mesures de protection existantes. Même si elles ne sont pas en mesure de bloquer toutes les tentatives d'exploitation possibles, les technologies d'atténuation en matière de sécurité présente dans EMET rendent les exploitations plus difficiles, si cette trousse est bien utilisée.

Voici, selon Microsoft, certains des principaux avantages d'EMET. Elle :

Capacités

La trousse Enhanced Mitigation Experience Toolkit sert d'appui aux systèmes d'exploitation des côtés client et serveur. La version actuelle (3.0) vous permet de configurer les technologies d'atténuation en matière de sécurité en fonction des applications et du système que vous utilisez. Les mesures mises en place dans le système ont une incidence sur l'ensemble du système alors que celles relatives aux applications ne touchent que les applications en question.

Remarque : L'installation de la trousse EMET ne fournit pas automatiquement de protection additionnelle. Par défaut, les paramètres d'atténuation du système demeurent inchangés (ceux que le système d'exploitation utilise par défaut) et ceux axés sur les applications ne sont pas configurés. Certaines de ces technologies pourraient empêcher le fonctionnement de certaines applications. On recommande donc fortement d'effectuer une mise à l'essai approfondie de la configuration EMET souhaitée avant de la déployer dans un environnement de production.

Technologies d'atténuation en matière de sécurité

Les technologies suivantes d'atténuation pour le système sont prises en charge (si elles sont compatibles avec votre SE). Les paramètres d'atténuation par défaut dépendent de votre SE.

Prévention de l'exécution de données (DEP)
Il s'agit d'une mesure de protection de la mémoire qui « marque » les tas et les piles d'un processus afin qu'elles soient perçues comme des données non exécutables. Le processeur bloque toute tentative d'exécuter du code malveillant à partir de l'une de ces régions de données.

Protection Structured Exception Handler Overwrite Protection (SEHOP)
Cette technologie d'atténuation protège le système contre les techniques les plus courantes en ce moment d'exploitation des dépassements de la mémoire en pile dans Windows.

Randomisation du format d'espace d'adresse (ASLR)
L'ASLR effectue l'allocation aléatoire des adresses où les modules sont chargés, afin d'empêcher un attaquant de profiter du chargement de données à des emplacements prévisibles dans la mémoire. Cette technologie contre les exploitations fondées sur la présence de données à des adresses fixes.

Technologie d'atténuation pour les applications

Les technologies suivantes d'atténuation pour les applications sont prises en charge (si elles sont compatibles avec votre SE). Par défaut, elles ne sont pas configurées.

Prévention de l'exécution de données (PED)
Voir la définition dans la section ci-dessus.

Protection Structured Exception Handler Overwrite Protection (SEHOP)
Voir la définition dans la section ci-dessus.

Préaffectation de page Null (vide)
Cette méthode est conçue afin d'empêcher les problèmes potentiels de déférences d'éléments Null lorsque vous êtes en mode utilisateur. À ce jour, il n'existe aucun moyen connu d'exploiter ce genre de problème; il s'agit donc d'une technologie d'atténuation approfondie.

Préaffectation des adresses communes utilisées dans le balancement
Cette mesure est conçue afin d'effectuer l'allocation préalable des adresses mémoires courantes en vue de bloquer les attaques par balancement. Veuillez noter qu'elle vise uniquement à contrer l'exploitation actuelle, qui profite des adresses communes.

Filtrage de l'accès à la table d'adresses d'exportation (EAF)
Cette mesure bloque la plupart des approches courantes utilisées dans le cadre d'exploitations afin de trouver l'emplacement d'une fonction (que Windows expose) qui balaie la table d'adresses d'exportation des bibliothèques chargées. Elle est très efficace pour bloquer les exploitations actuellement utilisées.

Randomisation obligatoire du format d'espace d'adresse (ASLR obligatoire)
L'ASLR effectue l'allocation aléatoire des adresses où les modules sont chargés afin d'empêcher un attaquant de profiter des données qui figurent à des emplacements prévisibles. Cette mesure force tous les modules à se charger selon des adresses aléatoires, peu importe les indicateurs utilisés pour leur compilation; elle contre les exploitations fondées sur la présence de données à des adresses fixes.

Randomisation ascendante de la mémoire virtuelle
Cette mesure génère aléatoirement (entropie de 8 bits) l'adresse de base des allocations de mémoire ascendantes (ce qui comprend les piles, les tas et d'autres types d'allocation de mémoire).

Paramètres d'atténuation pris en charge

Les tableaux suivants indiquent, pour chaque système d'exploitation, quels sont les paramètres d'atténuation pris en charge.

Paramètres du système

Système d'exploitation

PED

SEHOP

ASLR

Windows XP

X

Non

Non

Windows Server 2003

X

Non

Non

Windows Vista

X

X

X

Windows Server 2008

X

X

X

Windows 7

X

X

X

Windows Server 2008 R2

X

X

X

Paramètres des applications

Système d'exploitation

PED

SEHOP

Page NULL

Balancement

ASLR. obligatoire

EAF

Allocation ascendante

Windows XP

X

X

X

X

Non

X

X

Windows Server 2003

X

X

X

X

Non

X

X

Windows Vista

X

X

X

X

X

X

X

Windows Server 2008

X

X

X

X

X

X

X

Windows 7

X

X

X

X

X

X

X

Windows Server 2008 R2

X

X

X

X

X

X

X

Processus 32-bits

X

X

X

X

X

X

X

Processus 64-bits

X

Non

X

X

X

X

X

Liste de vérification de la configuration

La liste de vérification de la configuration suivante sert à aider les organismes à configurer rapidement la trousse EMET dans leur environnement.

Liste de vérification
Élément Terminé
1. Téléchargez et installez la trousse EMET de Microsoft sur un seul poste d'essai (http://www.microsoft.com/en-us/download/details.aspx?id=29851).  
2.

Configurez les paramètres d'atténuation du système.
Vous pouvez effectuer cette opération pour les mesures PED, SEHOP, et ASLR touchant le système. Leur disponibilité dépend du système d'exploitation que vous utilisez (reportez-vous aux paramètres d'atténuation pris en charge). Les paramètres disponibles sont :

Disabled (désactivé) - Désactive la technologie d'atténuation pour le système et toutes les applications.

Application Opt In (application — activation) - Permet l'utilisation de la technologie d'atténuation dans toutes les applications compilées de façon à la prendre en charge.

Application Opt Out (application — désactivation) - Force l'utilisation de la technologie d'atténuation dans toutes les applications, sauf celles compilées de façon à l'utiliser.

Always On (toujours activée) - Force le système et toutes les applications à utiliser la technologie d'atténuation.

Il est recommandé d'utiliser les paramètres par défaut de votre système d'exploitation. Par défaut, Windows 7 SP1 utilise le paramètre « Application Opt In » dans le cas des technologies PED, SEHOP et ASLR. Vous pouvez accroître la sécurité en utilisant le paramètre « Application Opt Out » pour les technologies PED et SEHOP. Pour obtenir une sécurité maximale, utilisez le paramètre « Always On » et « Application Opt Out » pour les protection PED et SEHOP respectivement.
 
3.

Configurez ensuite les paramètres d'atténuation des applications.

Pour chaque application, vous pouvez configurer les technologies PED, SEHOP, EAF, ASLR obligatoire, ASLR ascendante ainsi que celles de préaffectation de page Null et de balancement. Lorsque vous activez une technologie d'atténuation pour une application donnée, le système en force l'utilisation dans les processus connexes sans effectuer à nouveau leur compilation.

 

 

 
i)

Importez un profil de protection EMET. Trois (3) profils différents sont fournis avec la trousse EMET :

Internet Explorer.xml - Active les technologies d'atténuation pour les versions prises en charge de Microsoft Internet Explorer.

Office Software.xml - Active les technologies d'atténuation pour Microsoft Internet Explorer (versions prises en charge), Microsoft Office versions 2010 à 2014, Adobe Acrobat versions 8 à 10 et pour Adobe Acrobat Reader versions 8 à 10.

All.xml - Active les technologies d'atténuations pour les applications courantes en plus de celles touchées par les profils « Internet Explorer.xml » et « Office Software.xml ».

 
ii)

Vous pouvez également créer un profil de protection personnalisé.

Lorsque vous ajoutez une application dans ce profil, les sept (7) technologies d'atténuations y sont activées par défaut. Si vous souhaitez en désactiver certaines, décochez la case sous-jacente aux technologies en question.
 
4.

Déployez la configuration EMET dans votre environnement d'essai.

Si les paramètres d'atténuation du système ne correspondent plus à ceux utilisés par défaut dans votre SE, il faut effectuer une mise à l'essai approfondie de toutes les applications présentes dans le système. Autrement, vous pouvez vous limiter à celles figurant dans votre profil de protection.
 
5.

Déployez la configuration EMET dans votre environnement d'essai.

Si les paramètres d'atténuation du système ne correspondent plus à ceux utilisés par défaut dans votre SE, il faut effectuer une mise à l'essai approfondie de toutes les applications présentes dans le système. Autrement, vous pouvez vous limiter à celles figurant dans votre profil de protection.
 
6.

Surveillez le contenu des journaux d'événements.
Les événements relatifs à EMET sont consignés dans les journaux des événements de Windows, qui se trouvent dans ceux d'applications avec la source de l'événement « EMET ». Vous pouvez visualiser chaque événement à partir du poste à l'aide de l'outil Observateur d'événements, ou à distance à l'aide de Windows Management Instrumentation (WMI).

Si une technologie d'atténuation entraîne la panne d'une application, une info-bulle vous présente l'information relative à cet événement dans la zone de notification de la barre de tâches.
 

Recommandation

EMET s'est révélé très efficace pour protéger les applications contre les vulnérabilités relatives au dépassement ou à la corruption de mémoire. Les organismes devraient étudier la possibilité d'utiliser la trousse EMET de Microsoft sur leurs postes d'entreprises, surtout sur les postes de travail d'utilisateurs, pour aider à empêcher l'exploitation des vulnérabilités présentes dans les logiciels installés. Le déploiement de cette trousse sur des serveurs d'entreprise, surtout sur ceux présentant une charge élevée, nécessite l'administration de tests supplémentaires de chacune des stratégies d'atténuation de la trousse EMET afin d'éviter d'affecter des services essentiels à la mission.

L'utilisation de la trousse EMET, jumelée à d'autres techniques des solutions de sécurité de défense en profondeur, dont le dressage d'une liste des applications autorisées (liste blanche), peut aider à améliorer la résilience d'un organisme contre diverses cybermenaces. 

Les organismes devraient aussi étudier la possibilité d'utiliser un service de suivi des événements Windows afin de collecter des événements produits par EMET. Les journaux générés par la trousse EMET offrent des informations relatives à la configuration de cette trousse, aux modifications de situation, et à l'interruption de logiciels, entre autres. En transmettant ces journaux à un service collecteur de Windows, les équipes de sécurité peuvent être en mesure d'identifier rapidement des hôtes Windows potentiellement sous attaque.

http://msdn.microsoft.com/en-us/library/windows/desktop/bb427443(v=vs.85).aspx

Signalement

Nous encourageons les exploitants des infrastructures essentielles, les gouvernements provinciaux et territoriaux ainsi que les administrations municipales potentiellement touchés par des incidents informatiques à communiquer avec le CCRIC à l'adresse suivante : cyber-incidents@ps-sp.gc.ca.

Références

  1. Guide de l'utilisateur pour la trousse Enhanced Mitigation Experience Toolkit v3.0 de Microsoft
    http://www.microsoft.com/en-us/download/details.aspx?id=29851
  2. Microsoft, What's EMET and how can you benefit? (Enhanced Mitigation Experience Toolkit)
    http://blogs.windows.com/windows/b/springboard/archive/2011/03/04/what-s-emet-and-how-can-you-benefit-enhanced-mitigation-experience-toolkit.aspx

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :