Pages

Sunday, June 16, 2013

CrystalAEP: una alternativa a EMET

Una de las herramientas que mencioné en el informe de Software Exploitation  y de la que apenas oigo hablar cuando se referencian herramientas de protección (en concreto anti-explotación) es CrystalAEP, desarrollada por Peter Winter Smith. Personalmente suelo utilizar esta herramienta en equipos Windows para prevenir la ejecución de exploits en navegadores y ciertas aplicaciones de uso común, y en donde el AV tiene poco que hacer. De modo similar a EMET, CrystalAEP presenta multitud de opciones de protección que pueden aplicarse de forma selectiva a las aplicaciones que queramos para evitar intentos de explotación. 

La interfaz de la aplicación presenta dos paneles de configuración: Basic Options desde donde podrán elegirse las aplicaciones que queramos añadir a la lista de protección; y Expert Options desde donde podremos definir en detalle que características de seguridad aplicar bien de forma genérica o por cada proceso. Son estas últimas características las que hacen realmente atractiva a la aplicación debido a la multitud de contramedidas existentes para frustar ataques de corrupción de memoria. Debido a la naturaleza de muchos exploits, este tipo de medidas podrían protegernos incluso contra cierto tipo de 0-days. Desde la pestaña de Memory Monitor podemos ver algunas de estas opciones:

  •   Enable Process DEP
  •   Use-After-Free Protection 
  •   Disable RWX Heap
  •   Vary Allocation Sizes
  •   Windows Validate Allocations



Asímismo dentro de la pestaña API Monitor nos encontramos con más mecanismos de protección relacionadas con la API de Windows como Anti-ROP Stack Additional Anti-ROP Methods, para prevenir intentos de explotación que intenten aprovecharse de ROP gadgets con las que evadir DEP y ASLR.

Como prueba de concepto, he utilizado el exploit MS13-038 CGenericElement Object (vulnerabilidad de tipo use-after-free utilizada apenas hace unos meses para comprometer el Department of Labor) contra un Windows XP SP3 con IE8. En la imagen anterior he modificado las caracteríticas de seguridad del proceso iexplore.exe para añadir la protección frente a ataques "Use-after-free" y "Double-Free". Como vemos en la siguiente imagen, tras ingresar en la URL maliciosa, CrystalAEP mitiga el intento de explotación, clasificándolo como HighRisk y alertando del tipo de ataque.



CrystalAEP también proporciona funcionalidades de filtrado de contenido para IE  (Anti-Cross-Site Scripting, validación de ficheros  PNG, JPEG Y GIF, etc.). Para ver en detalle cada una de estas carácterísticas podeís consultar la guía de usuario de la herramienta. CrystalAEP es gratuita y está disponible para Windows XP, Vista y 7 (arquitecturas 32 y 64 bits). 

Sin duda alguna bien EMET o CrystalAEP son una de las herramientas que junto al  AV no deben faltar hoy en día en una máquina Windows.




1 comment:

  1. Muy bien explicado, como de costumbre una gran entrada!!

    PD: interesante aplicación :D

    ReplyDelete