Microsoft a publié la version 5.0 finale de son Enhanced Mitigation Experience Toolkit, alias EMET. Cette trousse à outils procure un certain nombre de protections à Windows en-dehors du champ habituel des malwares. EMET n’est pas forcément destinée à tous les utilisateurs, mais elle permet de court-circuiter bon nombre de scénarios d’attaques.
Dévier les attaques qui visent l'exploitation des failles logicielles
EMET n’est pas comparable à un antivirus. Il ne surveille pas le fonctionnement du système à la recherche de logiciels malveillants, mais les comportements de la machine en cas d’exploitation de vulnérabilités dans les logiciels. EMET consiste en un ensemble de techniques de contre-mesures pour dévier les attaques, utilisé en entreprise ou globalement par ceux qui désirent ajouter une sérieuse couche de sécurité à leur machine.
Six mois après la présentation de la préversion à la RSA Conference, la mouture finale d’EMET 5.0 est maintenant disponible au téléchargement. Elle apporte plusieurs nouveautés, dont deux techniques de défense importantes. La première, nommée Attack Surface Reduction (ASR), permet d’obtenir une administration fine sur l’ensemble des plugins. Un administrateur peut donc décider si et quand ces composants peuvent s’exécuter, et ce pour une raison : les plugins sont régulièrement pris comme vecteurs d’attaques. Il sera ainsi possible d’autoriser Java par exemple sur les intranets de l’entreprise, mais pas lors de la navigation sur le web classique.
L’autre technique ajoutée se nomme Export Address Table Filtering Plus (EAF+). Sous une même appellation se cachent cependant deux techniques pour déjouer les scénarios d’attaques plus complexes. EAF+ installe ainsi une protection des zones de la mémoire pour prévenir les attaques visant des fuites de données. En outre, les contrôles d’intégrité sont renforcés.
Plus de souplesse dans la configuration et l'application des règles
D’autres changements ont été faits pour simplifier la vie des utilisateurs, qu’ils soient seuls ou en entreprise. Par exemple, EMET 5.0 fournit toujours par défaut une liste des adresses mémoire qu’il convient selon lui de surveiller en priorité. L’utilisateur pourra cependant ajouter ses propres adresses pour renforcer la liste. En outre, un EMET Service résident pourra appliquer immédiatement tout changement de configuration, y compris ceux provenant des politiques de groupe.
EMET 5.0 prend par ailleurs mieux en compte les systèmes 64 bits avec un nombre beaucoup plus important de techniques pleinement utilisables. La compatibilité est globalement améliorée avec les applications qui peuvent ainsi être mieux protégées lorsque le kit isole les zones mémoire.
La nouvelle mouture reste gratuite, comme les précédentes, mais il sera nécessaire d’installer le framework .NET 4.0. Côté systèmes d’exploitation, tous les Windows sont pris en charge à partir de Vista Service Pack 2 côté clients, et de Windows Server 2003 SP2 côté serveurs.
