Disponibilidad del Modo Protegido en Internet Explorer 10

Poco se habla actualmente de una característica de seguridad muy interesante que incorpora el navegador Internet Explorer, la cual evita la instalación de software malintencionado en el equipo, generando, aun si cabe, más protección a la hora de navegar por la red. Vale destacar ésta propiedad ya que hoy por hoy pocos navegadores incluyen ésta medida, y como no puede ser de otra manera vendrá disponible en Windows 8 de la mano de su navegador por defecto Internet Explorer 10.

El nombre de ésta cualidad es el “Modo Protegido” de Internet Explorer, que además de protegerte de instalar malware, permite a un usuario que haya iniciado sesión como administrador, instalar de forma intencionada controles o complementos de ActiveX.

Este modo de navegación se activa de forma predeterminada en la zona de Internet y en sitios restringidos (en IE 7 y 8, también en Intranet). Y se muestra en la barra de estado cuando esta activado.

Para llevar a cabo la protección, este modo nos advertirte si una página web intenta instalar software malintencionado o cuando las páginas web intenten ejecutar determinadas aplicaciones sin tener permiso. Además también se mostrará una advertencia cuando un software pueda tener más acceso a su equipo de lo recomendable. Todo esto son advertencias, que al final nosotros decidiremos si permitir o no, además si confiamos en el sitio web podemos marcar la casilla de no mostrar la advertencia sobre el programa.

Además también podemos activar o desactivar el Modo Protegido en las diferentes zonas y para ello se tienen que dirigir a “Herramientas->Opciones de internet->Security”, aunque se os puede decir que esta acción no es recomendable.

Como era de esperar el Modo Protegido aparecerá en Internet Explorer 10 que monta Windows 8, pero en esta ocasión será un Modo Protegido Mejorado, ya que en la versión de Metro estará activado por defecto y de forma indefinida. Pero en la versión de escritorio se conserva activada como en las versiones anteriores.

Este Modo Protegido Mejorado, protege incluso de ataques explotando una vulnerabilidad, además trae consigo capacidades nuevas, como acceso restringido a documentos personales en el equipo, procesos de 64 bits…

“Os protegemos con el Filtro de XSS, que impide automáticamente ciertos tipos de ataques, y facilitamos que los sitios web se protejan a sí mismos con características de Seguridad Declarativa, como el nuevo soporte de Internet Explorer 10 para el HTML5 Sandbox”, explica Andy Zeigler.

También debemos tener en cuenta, que los complementos incompatibles se deshabilitaran de forma automática, aunque tenemos la posibilidad de activarlos para sitios web específicos cuando sea necesario.

Hace poco tiempo nuestro compañero Sergio Santos creo una herramienta para poder vigilar la actividad del Modo Protegido, si deseas conocerla no dejes de visitar post relacionado en el blog de “Uno al día”

Si quieres aprender mucho más sobre los secretos de lo sistemas Microsoft Windows, te recomendamos leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos". Por último, recuerda suscribirte al Canal RSS de Windows Técnico para recibir información como la que aparece aquí reflejada y otras actividades de interés que publicamos regularmente en este blog.

---

Enviado may 25 2012, 05:31 por Juan Luis Hernangómez

Windows 8 RC sería lanzado el 1 de junio

Cada vez falta menos tiempo para poder tener la versión final del nuevo sistema operativo de Microsoft, Windows 8. Y seguro que muchos de los que actualmente están encantados con la versión de prueba (Windows 8 Consumer Preview), también quieren empezar a gozar de la versión RC (Release Candidate), que es como una previa a la del lanzamiento final.

Pues bien, si ese es el caso, entonces les tengo que dar buenas noticias, de acuerdo con lo que ha sido publicado por Neowin, ya que ellos informan que una de las fuentes más confiables de Windows, ‘Canouna’ ha utilizado su cuenta en Twitter para darnos a conocer cuándo sería la fecha de lanzamiento de la versión Windows 8 RC. Y esa fecha no sería otra que este 1 de junio, lo cual concuerda perfectamente con los rumores previos, que decían que esta nueva versión estaría lista para ser presentada al público la primera semana del referido mes.

El tweet de Canouna decía lo siguiente: ‘#Microsoft‬ ‪#Windows8‬ Release Preview public download = 1st June‘. Pero eso no habría sido todo lo mencionado por la fuente, ya que también ha señalado que Windows 8 será el primer sistema operativo de Microsoft en contar con Adobe Flash preinstalado. Y si bien este paso parece algo tardío para Microsoft, puesto que Flash ha estado presente desde los tiempos de Windows 98, igual es una movida interesante, aunque, claro, ahora la tendencia es utilizar HTML5.

En fin, sea como fuere, Windows 8 RC estaría listo para la descarga este 1 de junio, así que a estar preparados.

Fuente: Tech Spot

W32.Pasobir Removal Tool 1.0.0

W32.Pasobir Removal Tool was designed to remove the infections of W32.Pasobir

W32.Pasobir Removal Tool was designed to remove the infections of W32.Pasobir.

Important:
If you are on a network or have a full-time connection to the Internet, such as a DSL or cable modem, disconnect the computer from the network and Internet. Disable or password-protect file sharing, or set the shared files to Read Only, before reconnecting the computers to the network or to the Internet. Because this worm spreads by using shared folders on networked computers, to ensure that the worm does not reinfect the computer after it has been removed, Symantec suggests sharing with Read Only access or by using password protection.

If you are removing an infection from a network, first make sure that all the shares are disabled or set to Read Only.

This tool is not designed to run on Novell NetWare servers. To remove this threat from a NetWare server, first make sure that you have the current virus definitions, and then run a full system scan with the Symantec antivirus product.

How to download and run the tool

Important: You must have administrative rights to run this tool on Windows NT 4.0, Windows 2000, or Windows XP.

Note for network administrators: If you are running MS Exchange 2000 Server, we recommend that you exclude the M drive from the scan by running the tool from a command line, with the Exclude switch.

Follow these steps to download and run the tool:
· Download the FixPasbr.exe file
· Save the file to a convenient location, such as your Windows desktop.
· Close all the running programs.
· If you are on a network or if you have a full-time connection to the Internet, disconnect the computer from the network and the Internet.
· If you are running Windows Me or XP, turn off System Restore.
· Locate the file that you just downloaded.
· Double-click the FixPasbr.exe file to start the removal tool.
· Click Start to begin the process, and then allow the tool to run.
NOTE: If you have any problems when you run the tool, or it does nor appear to remove the threat, restart the computer in Safe mode and run the tool again.
· Restart the computer.
· Run the removal tool again to ensure that the system is clean.
· If you are running Windows Me/XP, then reenable System Restore.
· If you are on a network or if you have a full-time connection to the Internet, reconnect the computer to the network or to the Internet connection.

When the tool has finished running, you will see a message indicating whether the threat has infected the computer. The tool displays results similar to the following:
· Total number of the scanned files
· Number of deleted files
· Number of repaired files
· Number of terminated viral processes
· Number of fixed registry entries

What the tool does
The Removal Tool does the following:
· Terminates the associated processes
· Deletes the associated files
· Deletes the registry values added by the threat

Autenticación mediante imagenes en Window 8: Picture Password

Picture Password es como se llama la funcionalidad que va a permitir realizar otro mecanismo de autenticación sobre plataformas Windows 8. La funcionalidad nos permite seleccionar la imagen que queremos utilizar en el proceso de autenticación y establecer una contraseña que va a consistir en realizar tres acciones consistentes en hacer clic, realizar circunferencias o dibujar líneas en tres puntos determinados de la imagen. Curioso cuanto menos.

Imagen 1: Welcome to picture password en Windows 8

La verdad que realizando las pruebas sobre la citada funcionalidad se ha pasado un rato entretenido con nuestro compañero Antonio. Y es que este tipo de autenticación va a poner aún más difíciles las cosas si cabe a mecanismos de autenticación por fuerza bruta. Aunque siempre haya quien eche un vistazo por encima del hombro y detecte nuestros clic en la imagen. ¿A donde creéis que se ha establecido la autenticación?

Imagen 2: Establecimiento de Picture Password en Windows 8

Recuerda que puedes subscribirte al Canal RSS de Windows Técnico para recibir información y otras actividades de interés que se publican periódicamente en el blog.

Windows 8 y la compatibilidad del software

Durante los últimos años Microsoft ha intentado garantizar la compatibilidad de software de sus sistemas. Este aspecto ha sido mejorado en el nuevo sistema operativo de Microsoft, obteniendo una alta compatibilidad con el software general, tanto en las nuevas aplicaciones, como en los desarrollos que funcionaban en sus predecesores. Aunque el estado actual de Windows 8 todavía no está completo y podemos esperar algún problema de compatibilidad, que en la versión completa de Windows 8 desaparecerá.

Figura 1: Logo de Windows 8 Consumer Preview

Para que los usuarios podamos comprobar la compatibilidad de Windows 8 Consumer Preview, tanto de 32 bit, como de 64 bit, Microsoft ha lanzado un portal para que los usuarios puedan verificar la compatibilidad de las aplicaciones con Windows 8. Este portal es un servicio donde se listan miles de programas de los que podemos obtener información sobre las necesidades con el nuevo sistema operativo, incluso podemos ver la compatibilidad de diferentes dispositivos.

Figura 2: Centro de compatibilidad Windows 8

Como podemos comprobar en el Centro de Compatibilidad de Windows 8, hay un alto índice de software que es compatible con el nuevo sistema operativo, incluso con software antiguo, aunque también se verifique que hay aplicaciones que actualmente no son compatibles con Windows 8, lo que es normal teniendo en cuenta que todavía el sistema operativo está en desarrollo.

Figura 3: Compatibilidad con software

Figura 4: No compatibilidad con software

El Centro de compatibilidad de Windows es un servicio que tiene Microsoft, al cual puede acceder cualquier usuario desde la web de Microsoft.

Si quieres aprender mucho más sobre los secretos de lo sistemas Microsoft Windows, te recomendamos leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos". Por último, recuerda suscribirte al Canal RSS de Windows Técnico para recibir información como la que aparece aquí reflejada y otras actividades de interés que publicamos regularmente en este blog.

Cómo crear un VPN en Windows 7

Este tutorial es riesgoso debido a que si se remueve el dispositivo una vez configurado para ser usado puede ocasionar problemas en el equipo. Comolohago.cl no se hace responsable por el mal uso que le puedan dar a este tutorial y por los problemas que se puedan generar en sus equipos.

Para comenzar debemos observar el único requerimiento que necesitamos esta vez:

1.  ¿Qué necesitamos?

• Sistema operativo Windows 7
  

2.  ¿Cómo lo hago?

1. De manera muy sencilla, debemos dirigirnos a Panel de Control > Conexiones de red y luego presionaremos la tecla ALT una vez para que nos aparezca el siguiente menú en donde debemos pulsar Archivo>Nueva conexión entrante (Donde apunta la flecha roja).

2. Nos aparecerá la siguiente ventana en la cual podremos agregar a la gente que se pueda conectar al equipo. Para realizar esto nos vamos al botón Agregar usuario(Donde apunta la flecha roja).

3. Nos aparecerá otra ventana donde debemos especificar los siguientes datos como tambíen el nombre de usuario y contraseña.

4. Una vez agregada la información requerida pulsaremos el botón Siguiente para pasar a la siguiente etapa de configuración.

5. La ventana de configuración nos preguntará de que manera se conectarán los usuarios al equipo por lo que deberemos marcar la opcion A través de internet(Donde apunta la flecha roja) y luego pulsar el botón Siguiente.

6. Cómo seleccionamos la opción de conexión de usuarios a través de internet deberemos configurar el rango de conexiones permitidas. Para esto debemos seleccionar el Software de red>Internet Protocol Version 4 (TCP/IPV4)>Propiedades (Donde apuntan las flechas rojas).

7. Seleccionaremos la casilla que permite acceso a los usuarios que se quieran conectar y tambien agregaremos el rango de IPS de estos. Finalmente pulsamos OK.

8. Terminando el proceso, el asistente realizará la configuración y listo!.

9. Información necesaria para poder reconocer el lugar al cual se van a conectar, en este caso NOTE-CRI.

10. Incoming Connections (O conexiones entrantes) nos indicará la cantidad de gente actualmente conectada al equipo.

Espero les haya gustado y haya servido para su utilidad. Los invitamos a dejar su comentario en caso de cualquier duda y con esto, me despido.

Ransomware: Nuevas variantes “locked- y SGAE.”

Tal como comentábamos a través de nuestra cuenta de Twitter de @InfoSpyware, (Twitt1, Twitt2, ) durante este mes de Mayo 2012 han aparecido dos nuevas y peligrosas variantes del comúnmente conocido ransomware “Virus de la Policía” con sus variantes: “SGAE y Rannoh locked-“. Si bien guardan ciertas similitudes en su modus operandi con variantes anteriores, estas incorporan también algunas diferencias que están logrando infectar a cientos de nuevas victimas al día que llegan buscando soluciones en nuestro Foro de InfoSpyware.

Ransomware de la SGAE:
Este es el más nuevo ransomware que anda dando vueltas y uno de los que hasta el momento ha logrado infectar a más usuarios. Detectamos los primeros reportes en el Foro de InfoSpyware desde el pasado 14 de Mayo y en menos de 3 días recibimos cerca de 200 nuevos casos reportados, mas otros cientos de usuarios infectados que solo tuvieron que seguir las recomendaciones brindadas para desinfectar sus equipos sin solicitar ayuda extra.

.- Bloquea la utilización del PC con la pantalla fija similar a los anteriores “Virus del Policía”, pero en este caso diciendo venir de parte de la SGAE (Sociedad General de Autores y Editores), mostrando la IP y el ISP de la victima.

.- Impide el acceso en ‘Modo Seguro’ y muestra una pantalla en blanco con un mensaje en ingles y otros en alemán que dicen:
- Please wait while the connection is being established.
- Bitte warten Sie während die Werbindung herges tellt wird.

.- Al igual que sus primos, bloquea al ‘Administrador de Tareas’ (TaskManager), al registro de Windows (Regedit) y desaparece los iconos y carpetas del escritorio de Windows (NoActiveDesktop)

.- Los archivos del malware hasta el momento son alguno de estos: BSI.bund.exe – WINSnapshot_x86.exe – FSnapshot_x86.exe

.- Se aprovecha de una vulnerabilidad 0-day de todas las versiones de JAVA 6, por lo que es muy importante actualizar sus versiones a JAVA 7. Hace muy pocos días fue liberada la versión de JAVA 7, de ahí la cantidad de usuarios sin actualizar y posibles victimas.

.- Para su eliminación: Es necesario poder acceder al ‘símbolo del sistema’ y desde ahí ejecutar nuestra ultima versión disponible de PoliFix 2.0.1, la cual se encarga de eliminar y restaurar las modificaciones realizadas por el virus SGAE.
.

Ransomware locked- (Ransom.Win32.Rannoh)
Las primeras muestras nos llegaron el 5 de Mayo, aparte de la clásica imagen bloqueando el ordenador si no se paga una multa, y del resto de bloqueos similares a sus primos, esta variante de ransomware incorporo una particularidad que nos llamo mucho la atención…
Y es que esta vez, si cumple lo que promete! cifrando (encriptando) varios archivos al azar del equipo infectado mayores de 4096 bytes, añadiendo la palabra “locked-” antes del nombre del archivo y 4 caracteres aleatorios después de la extensión original del archivo, que los convierten en archivos inutilizables.
Kaspersky Labs ha desarrollo una pequeña utilidad gratuita llamada: RannohDecryptor con la cual es muy sencillo poder desencriptar los archivos.



1.- Descargar y ejecutar PoliFix by @InfoSpyware.
2.- Descargar y ejecutar RannohDecryptor.exe
3.- Haga clic en ‘Start Scan’ para comenzar el proceso y en la siguiente ventana presionar en continuar.
4.- ‘Specify the path to original file’ – Para iniciar el descifrado, la utilidad le pedirá que indique la ruta de al menos un archivo original (sin encriptar) que dispongamos en un USB, CD o podamos volver a descargar de Internet. Por ej: ErickClaptonHaven.mp3
5.- ‘Specify the path to encrypted file’ – En este paso indicamos el archivo que tenemos cifrado (encriptado) Por ej: loked-ErickClaptonHaven.mp3.mqhv
6.- RannohDecryptor calculara la clave y desencriptara el resto de los archivos de forma automática.

Autor: Marcelo Rivero
Microsoft MVP Enterprise Security - Founder & CEO to ForoSpyware & InfoSpyware.            

Como recuperar archivos de unidades de disco a las cuales no tenemos acceso desde el explorador de Windows XP

Directorios Protegidos por Windows

Cuando por algún motivo hemos tenido que reinstalar Windows XP y el usuario anterior estaba protegido por contraseña, o al colocar un disco adicional en una computadora para poder extraer los archivos de mis documentos para un usuario y XP nos deniega el acceso por estar protegidos por otra instalación, existe un simple proceso que se puede realizar desde Windows XP mismo y sin la necesidad de software adicional.

Brevemente te cuento como llegue a conocer este proceso. Un virus ataco mi maquina y afecto el sistema de booteo de XP, corrí la consola de recuperación de XP con el CD de instalación, pero no tuve éxito. La alternativa era reinstalar Windows o colocar el disco como slave de otro para así poder copiar los archivos que tenia en mis documentos.

Como en la instalación anterior mi usuario estaba protegido por contraseña, cuando coloque el disco afectado como slave, si bien me mostraba el directorio D:/Documents and settings/Pablo, que es donde guarda "Mis Documentos", me negaba el acceso a este directorio.

Intente con CIA Commander y otros programas, pero sin éxito. Cia Commander es muy bueno, ya que podes acceder a todos los archivos, pero es extremadamente complicado moverlos a otro directorio. Es fácil copiar un archivo pequeño al floppy, pero no 3 GB!.

En un momento que se me ocurrió que quizás en las propiedades del disco encontraría algo y así fue, y en menos de 7 minutos tenia mis archivos de nuevo.

El secreto esta en hacer una COPIA DE SEGURIDAD de los directorios, ya que por esas cosas raras de Windows, desde esta podemos copiar cualquier archivo de cualquier directorio, aunque el mismo este protegido u oculto. Y luego al recuperar la copia de seguridad copiarlo a un nuevo directorio, pero esta vez sin la restricción de acceso.

Imagen 1

Paso 1: Vamos a Inicio, seleccionamos Mi PC

Allí seleccionamos la unidad de disco duro donde esta el directorio al cual no tenemos acceso. [Si es el segundo disco de la PC, será D:]

Hacemos clic sobre el disco con el botón derecho del Mouse y seleccionamos Propiedades

(Imagen 1) Abrirá una ventana de Propiedades de Disco

Seleccionamos la pestaña Herramientas

Y luego la ultima herramienta Realizar copia de seguridad ahora

Imagen 2

Paso 2: Se nos abrirá el Asistente para copia de seguridad o restauración. En la segunda ventana que veremos (imagen 2) dejamos seleccionada la primer opción Efectuar una copia de seguridad de archivos y configuración

Imagen 3

Paso 3: (Imagen 3) en la ventana siguiente seleccionamos la ultima opción Elegir lo que deseo incluir en la copia de seguridad

Imagen 4

Paso 4: (imagen4) Aquí seleccionaremos en el panel de la izquierda los directorios de los cuales vamos a hacer una copia de seguridad. Si es Mis Documentos de una instalación anterior, se deben buscar en [Disco C o D]://Documents and Settings/[Nombre del Usuario]

Imagen 5

Paso 5: (imagen 5) en la ventana siguiente elegimos el lugar donde queremos que haga la copia. Y el nombre del archivo

Imagen 6

Paso 6: (Imagen 6) Luego mostrara el progreso de la copia de seguridad y cuando termine, debemos cerrar la misma y comenzar con el proceso de recuperación.

Imagen 7

Paso 7: Repetimos el Paso 1, se volverá a abrir el asistente, pero esta vez seleccionaremos la segunda opción Restaurar archivos y Configuraciones

Imagen 8

Paso 8: En el panel izquierdo seleccionamos el back up creado. Si se hace mas de uno, colocar diferentes nombres raíz para que sea mas fácil saber cual es cual.

Imagen 9

Paso 9: Este es el paso más importante en donde el mismo Windows XP nos devuelve los archivos a los cuales nos había negado el acceso. En Donde Restaurar seleccionamos Ubicación Alternativa y con el botón Examinar le indicamos al asistente donde queremos que copie los archivos

Luego de terminado este proceso tendremos acceso nuevamente a los archivos

Espero les sea útil, ya que buscando en google, no encontré muchas explicaciones sencillas de cómo salvar mis archivos.

IMPORTANTE: en Asistente para copia de seguridad o restauracion
desabilitar el check de las dos casillas osea "Restaurar la configuracion de seguridad" y "Conservas los puntos de montaje existentes" .

por Nahaair

ProSpy RAT

ProSpy RAT es una aplicacion diseñada para monitorear y administrar computadoras remotamente de forma totalmente invisible y anonima. Con ProSpy RAT basicamente obtienes control total en tiempo real sobre cualquier PC remota donde se ejecute el servidor del mismo. Puedes ver y controlar todo lo que se realiza en una o varias PCs desde tu propia PC sin que nadie se entere.




Herramientas

• Administrador de archivos
• Captura de pantalla
• Captura de camara
• Captura de entrada de audio
• Keylogger Online y offline
• Shell remota
• Enviar teclas
• Administrar MSN
• Administrar portapapeles
• Bromas
• Contraseñas
• Descargar/Descargar y ejecutar
• Enviar mensaje
• Visitar web
• Crear script (bat, vbs, html, etc..)
• Enviar comando shell
• Leer registro
• Energia
-Apagado programado, Apagar, Reiniciar, Cerrar sesion
• Opciones de servidor
-Asignar nombre, Reconectar, Desconectar, Cerrar, Eliminar, Enviar comandos
• Informacion de sistema
• Procesos activos
• Ventanas activas
• Aplicaciones instaladas
• Extractor de correos de MSN

Caracteristicas del cliente

• Vistas en miniaturas de los escritorios o ventana activa
• Sistema de conexion inversa mediante sockets con trafico encriptado
• Sin limites de conexiones
• Estable y rapido
• Multitarea
• Difundir (para enviar tareas a varios usuarios al mismo tiempo)
-Visor de contraseñas, descargar y ejecutar, mensajes, visitar web, script, etc
• Seleccionar usuarios
-Por IP, Nombre de usuario/PC, pais, SO, version, etc
• Filtrar ips
• Automatismo
-Enviar comandos al conectarse o cada cierto tiempo
• Carpeta de descarga para cada usuario
• Sistema de logs y estadisticas completo
• Muestra ventanas activas de los usuarios remotos
• Cliente NO-IP integrado
• De uso muy intuitivo y totalmente es español
• Cambiar icono
• Cambiar extension y nombre del servidor
• Clonar informacion de archivo
• Escaner de puertos
• Informacion en linea
• Encriptacion con VM protect
• Escaner de puertos

Caracteristicas del servidor

• Compatible con windows Me, XP, 2000, Vista, Seven, etc (32 y 64 bits)
• Totalmente invisible para el usuario
• Se inicia el ejecutar windows
• Saltea la UAC de Windows Vista y Seven
• Saltea los firewalls y antivirus
• Extensiones soportadas: ".scr", ".pif", ".com" y ".exe"
• Deteccion de errores
• Posibilidad de modificar (encriptar, cambiar icono, juntar con otro archivo, etc)
• 2 DNS/IP y puertos
• Mutex
• Peso del servidor: 160Kb sin comprimir (menos de lo que ocupa una imagen de tamaño normal)

DreaMule, la nueva opción P2P

• Home
• Features
• eMule x DreaMule
• Download

 

Differently from any other file-sharing programs, DreaMule has a practical and vivid interface. Minimal intervention required from user, DreaMule has been all set !
The interface is simple to beginners and powerful to experts.
Downloading what you want has never been so easy!

That music your mom used to sing when she was a child? That videoclip which you love and has just been realeased on MTV? That movie which was realeased in the USA, and you're crazy to see it?
In DreaMule you´ve got everything! Dreamule network is, doubtless, the most vast of them all, including 5 million users around the world - you'll have access to everything from different cultures.

DreaMule has an unbelievable technology mix and brings the file-sharing world exclusive resources available in Dreamule only.
One example is the Low2Low technology, DreaMule's resource that ends with the common problem of LowID

The newest version is 3.2

Se baja en inglés, pero se puede instalar en español perfectamente.

http://www.dreamule.org/ingles/ (la opción es Español NO FUNCIONA AUN).

Configurando EMETv2.1

Configurando EMETv2.1

Como ya se ha visto en los posts anteriores (Mitigaciones de seguridad en EMETv2.1 I, II y III), EMET es un programa muy útil para incrementar la seguridad del sistema. Permite añadir mitigaciones de seguridad a aplicaciones que no han sido programadas nativamente para soportarlas. Esto permite que incluso queden protegidas ante vulnerabilidades 0-day que en otras condiciones podrían hacer que el sistema fuese vulnerable a ejecución de código, por ejemplo

EMET soporta diferentes versiones de Windows y niveles de parcheo, pero no todas las mitigaciones están disponibles para todos ellos.


Lo mismo sucede con sistemas de 32 y 64 bits, ya que algunas protecciones sólo están disponibles en 32 bits.


Gracias a los posts anteriores conocemos qué protecciones ofrece EMET y cómo funcionan a bajo nivel. Ahora vamos a ver cómo configurar EMET para sacarle el máximo partido.

Aplicar mitigaciones

Existen dos formas de configurar las protecciones: a nivel de sistema o de ejecutables. Éstas no son mutuamente excluyentes, sino complementarias.


En el apartado Configure System podemos configurar a nivel global ciertas mitigaciones de seguridad (DEP, SEHOP, ASLR) mediante las directivas Always On, Application Opt-Out, Application Opt-In, Disabled). Se explicó cómo funciona cada una de ellas en el apartado DEP del primer post de la serie.

Existen dos perfiles por defecto en esta sección. Si se utiliza Maximum Protection Security nos podemos encontrar con que algunas aplicaciones dan problemas y no funcionan correctamete. Por eso se recomienda utilizar Recommended Security Settings.



En Configure Apps se configuran los binarios que queremos proteger y las mitigaciones que se aplican al mismo. Por defecto se activan todas si el SO las soporta. Las mitigaciones de seguridad que no aparecen en Configure System, se aplican o no en base a si están marcadas mediante el checkbox en la lista de aplicaciones añadidas manualmente.

Es importante tener en mente que se añaden los binarios de aplicaciones indicando la ruta completo, no sólo el nombre del binario. Por lo tanto podríamos tener dos versiones de la misma aplicación protegidas por EMET.



Cuando se realiza una modificación en Configure System o Configure Apps es necesario reiniciar el sistema para aplicar los cambios.

Configuración de seguridad mediante CLI

Existe la posibilidad de configurar EMET mediante CLI, de forma que se podría automatizar el proceso. La configuración mediante GUI es extremadamente útil para una sóla máquina, pero podría ser un problema para implementarlo en varias máquinas. Es aquí donde entra en juego la CLI.


También podemos sacar partido de la posibilidad de importar y exportar la configuración en XML. Sería útil en caso de que las restantes máquinas tengan el mismo software instalado y necesiten la misma configuración de seguridad.

----------------------------------------

Artículo cortesía de David Montero