Clear
Lead Graphic Papers

เสริมความมั่นคงปลอดภัยให้กับซอฟต์แวร์ด้วย EMET Version 4

ผู้เขียน: ณัฐโชติ ดุสิตานนท์
วันที่เผยแพร่: 16 สิงหาคม 2556
ปรับปรุงล่าสุด: 16 สิงหาคม 2556

Share on Facebook Share on Twitter Share on Google+

โปรแกรม Enhanced Mitigation Experience Toolkit หรือ EMET ของบริษัท Microsoft เป็นเครื่องมือที่ใช้เสริมความมั่นคงปลอดภัยให้กับซอฟต์แวร์ต่างๆ ที่ติดตั้งอยู่ในระบบปฏิบัติการ Windows หากผู้อ่านติดตามเว็บไซต์ของไทยเซิร์ตมาเป็นระยะเวลาหนึ่งอาจจะจำได้ว่า เคยมีบทความที่อธิบายการทำงาน และประโยชน์ของ EMET มาแล้ว [1] แต่เนื่องในโอกาสที่ Microsoft ได้พัฒนา EMET รุ่นใหม่ที่มีความสามารถเพิ่มขึ้นจากที่เคยกล่าวถึงในครั้งก่อน ประกอบกับภัยคุกคามที่เกิดขึ้นในปัจจุบันนี้ ยังคงเป็นรูปแบบของซอฟต์แวร์ที่มีช่องโหว่ เปิดโอกาสให้มีการประมวลผลคำสั่งอันตราย เช่น ช่องโหว่ใน Adobe reader [2] ซึ่งถือว่าเป็นช่องโหว่ที่มีการนำมาใช้โดยผู้ไม่หวังดีอย่างแพร่หลาย Mitigation Technology ของ EMET ที่มีความสามารถในการตรวจสอบและขัดขวางการประมวลผลคำสั่งอันตราย จึงเป็นสิ่งที่อาจช่วยผ่อนหนักเป็นเบาได้


รูปที่ 1 หน้าต่างของ EMET

บทความของไทยเซิร์ตได้เคยเขียนถึง EMET นั้น เป็นของ EMET version 2.1 ในขณะนี้ EMET version 4 เป็นรุ่นล่าสุด ถูกปล่อยเมื่อวันที่ 17 กรกฎาคม 2556 โดยผู้ใช้สามารถดาวน์โหลดได้ที่ http://www.microsoft.com/en-us/download/details.aspx?id=39273 โดยซอฟต์แวร์เวอร์ชั่นล่าสุดได้ถูกเพิ่มความสามารถที่น่าสนใจขึ้นไปอีก ดังนี้

1.SSL/TLS Certificate Trust features

ด้วย feature นี้ ผู้ใช้สามารถตั้งกฎเพื่อทำการตรวจสอบ SSL/TLS certificate ที่ใช้ในเว็บว่าตรงกับกฎที่เราตั้งไว้หรือไม่ เช่น ดูว่าใน certificate มี Root Certfiicate ตรงตามที่กำหนดหรือไม่ โดย EMET จะทำการตรวจสอบทุกครั้งที่ผู้ใช้เข้าเว็บผ่าน internet explorer ถ้าหาก certificate ที่พบถูกแก้ไขโดยผู้ไม่หวังดี ก็จะทำการแจ้งเตือนถึงความผิดปกติ ผู้ใช้สามารถตั้งค่ากำหนดได้ดังนี้

1.1 ตรวจสอบ Root Certificate ของเว็บที่ต้องการจะตรวจสอบโดยคลิกที่สัญลักษณ์กุญแจ จาก certificate detail จะเห็นได้ว่า Root Certifcate ของ accounts.google.com คือ Geotrust


รูปที่ 2 วิธีหา Root Certificate ใน Certificate ที่เว็บไซต์ใช้

1.2 เรียกใช้ EMET ระบุกฎโดยใส่รายละเอียดเช่น Root Certificate , Rule expiration


รูปที่ 3 สร้างกฎโดยระบุ root certificate ที่ใช้

1.3 ระบุเว็บไซต์ที่ต้องการตรวจสอบและกฎที่ต้องการใช้กับเว็บไซต์นั้น


รูปที่ 4 ระบุเว็บไซต์และกฎที่ต้องการใช้

1.4 หาก Certificate ไม่ตรงตามกฎที่กำหนด ก็จะมีการแจ้งเตือนดังในรูป


รูปที่ 5 แสดงการแจ้งเตือนเมื่อ certificate ไม่ตรงกับค่าที่ตั้งเอาไว้

2.Strengthened mitigations, blocking bypasses

มีการปรับปรุงแก้ไข mitigations technology เพื่อป้องกันเทคนิคการโจมตีในรูปแบบใหม่ๆ เช่น การ Bypass การป้องกันด้วย ASLR และ DEP ที่ถูกนำเสนอในงาน CanSecWest 2013 [3]

3.Application compatibility fixes

Microsoft ได้ทำการแก้ปัญหาความเข้ากันได้ (Compatibility) กับซอฟต์แวร์หลายตัว ได้แก่
1. Internet Explorer 9 and the Snipping Tool
2.Internet Explorer 8
3.Office software through SharePoint
4.Access 2010 with certain mitigations enabled
5.Internet Explorer 10 on Windows 8

นอกจากนี้ สำหรับซอฟต์แวร์บางตัว เช่น Photoshop, Gtalk และ Chrome ที่ยังมีปัญหาความเข้ากันได้อยู่ ใน EMET รุ่นนี้ก็จะมีการปิดการทำงานของตัวเองที่เกี่ยวข้องกับซอฟต์แวร์ดังกล่าวโดยอัตโนมัติเพื่อป้องกันปัญหาการใช้งาน

4.Early Warning Program for enterprise customers and for Microsoft

เมื่อ EMET ทำการตรวจสอบและป้องกันการประมวลผลคำสั่งอันตรายได้แล้ว สำหรับผู้ใช้งานในองค์กรที่มีการใช้ ซอฟต์แวร์ Microsoft Desktop Optimization Package [4] หรือ Client Monitoring feature ใน System Center Operations Manager [5] สามารถสร้างรายงานซึ่งอาจจะถูกเก็บไว้ในองค์กรเพื่อวิเคราะห์ หรืออาจส่งรายงานไปยังไมโครซอฟต์โดยตรงก็ได้

5.Audit Mode

โดยปกติหากมีความพยายามที่จะประมวลผลคำสั่งอันตราย EMET จะทำการป้องกันโดยอัตโนมัติ โดยการปิดโปรแกรมที่มีปัญหา แต่ใน EMET Version 4 ผู้ใช้สามารถเลือกใช้ Audit Mode แทน ในกรณีที่อาจต้องการทดสอบระบบ โดย EMET จะไม่ปิดโปรแกรม แต่จะทำการแจ้งให้ทราบเท่านั้น


รูปที่ 6 แสดงการใช้งาน Audit mode

สรุป

EMET เป็นโปรแกรมที่ช่วยป้องกันการโจมตีจากผู้ไม่หวังดี ลดโอกาสสำเร็จของการประมวลผลคำสั่งอันตรายผ่านช่องโหว่ของซอฟต์แวร์อันส่งผลให้เครื่องคอมพิวเตอร์ติดมัลแวร์ และ EMET ก็เป็นอีกทางเลือกหนึ่งที่สามารถใช้ร่วมโปรแกรมแอนตี้ไวรัสที่ผู้ใช้มีอยู่ เพื่อเพิ่มความมั่นคงปลอดภัยให้กับคอมพิวเตอร์ที่ใช้ในองค์กรหรือคอมพิวเตอร์ส่วนตัว ทั้งนี้ซอฟต์แวร์เกียวกับความมั่นคงปลอดภัยเหล่านี้จะมีการปรับปรุงความสามารถอยู่เสมอ ผู้ใช้งานควรติดตามข่าวสารเพื่ออัพเดทซอฟต์แวร์ดังกล่าวให้ทันสมัย สามารถรับมือกับภัยคุกคามใหม่ๆ ได้ ซึ่งผู้อ่านสามารถติดตามได้ในเว็บไซต์ของไทยเซิร์ต ซึ่งจะนำข้อมูลเกี่ยวกับซอฟต์แวร์ด้านความมั่นคงปลอดภัยต่างๆ มาเสนออย่างต่อเนื่องต่อไป

  1. http://www.thaicert.or.th/papers/technical/2012/pa2012te004.html
  2. https://www.thaicert.or.th/alerts/admin/2011/al2011ad006.html
  3. http://cansecwest.com/slides/2013/DEP-ASLR%20bypass%20without%20ROP-JIT.pdf
  4. http://www.microsoft.com/en-us/windows/enterprise/products-and-technologies/mdop/default.aspx
  5. http://www.microsoft.com/en-us/server-cloud/system-center/datacenter-management.aspx
Clear