Les cyberattaques n’ont pas manqué ces dernière semaines, l’occasion de rappeler l’importance de patcher et de mettre en place, lorsque c’est possible, des solutions de détection d’intrusions.

Patch virtuel pour une protection réelle ? – Juillet 2017

L’actualité de Mai et Juin, riche en cyberattaques, démontre à nouveau la nécessité pour les organisations de mettre en place une politique de patch management pour se prémunir de l’exploitation des vulnérabilités par des logiciels malveillants. Le déploiement systématique et automatique de tous les correctifs dès leur disponibilité et sur tous les matériels concernés, suppose un inventaire complet et à jour des éléments du SI (CMDB), des ressources suffisantes et compétentes pour effectuer de la veille et gérer la diffusion des mises à jour et enfin, un cadre de mise en œuvre cohérent avec les impératifs métiers car l’opération requiert généralement de stopper et redémarrer les machines.

Sur ce dernier point, les systèmes industriels font souvent figure de mauvais élèves avec des redémarrages programmés une fois par an alors même que les machines de supervision ou de pilotage des chaines de production hébergent fréquemment des systèmes d’exploitation obsolètes ou un peu datés et que la menace sur les systèmes SCADA grandit.

Pour résoudre ce conflit d’intérêt entre le business et la DSI, les fournisseurs de firewall proposent des solutions de patchage virtuel qui présentent de multiples avantages :

  • Efficace : Nombre d’implémentations réduit pour une protection globale par rapport à l’application d’un patch sur l’ensembles des postes.
  • Réactif : La faille est prise en compte et traitée avant même que l’éditeur ne sorte le patch adéquat.
  • Transparent : l’absence de mise à jour du code de l’application à patcher réduit les risques d’incompatibilité avec des programmes existants.
  • Indolore : Ne nécessite pas de rebooter le système, un atout majeur pour les machines en production.
  • Econome : Facile et rapide à mettre en place, le coût de déploiement est très inférieur aux patchs réels.

Moins impactant sur la disponibilité des applications critiques que son modèle réel, la mise en place d’un patch virtuel est aussi quelques fois l’unique moyen de protéger des applications qui ne sont plus supportées par un éditeur ou des programmes « maison » aux coûts de réécriture prohibitifs.

Capables d’inspecter tous types de flux pour y reconnaître la signature d’un transit dangereux, ces solutions basées sur les technologies d’IDS/IPS présentent quelques faiblesses (faux positifs/faux négatifs) mais restent des compléments pertinents voire indispensables aux patchs classiques, notamment en milieu industriel.

EMET & les ZeroDays  – Juillet 2017

EMET ou Enhanced Mitigation Experience Toolkit est un outil Microsoft présenté comme une plateforme de test & validation de mécanismes de protection type HIDS (Host-based Intrusion Prevention System) avant leur intégration dans les versions Windows PC ou serveurs.

Actuellement disponible gratuitement en version 5.52, le produit a été déclaré en fin de vie par Microsoft considérant que les dernières versions d’OS allaient désormais intégrer les protections proposées par EMET, jusqu’à ce que des tests publiés par le CERT du Carnegie Mellon Institute démontre l’intérêt du produit même sur les dernières versions de Windows, conduisant au report de la date de fin annoncée.

Revers de la médaille pour l’éditeur, en renforçant les mécanismes de protection des versions antérieures de Windows, EMET freine l’adoption des toutes dernières versions de l’OS et oblige Microsoft à poursuivre leur support.

Si l’installation d’EMET sur un PC ou un serveur ne garantit pas sa complète immunité, elle permet néanmoins de se protéger contre 16 types de menaces parmi lesquelles les fameuses mitigations ROP (Return-Oriented Programming), DEP (Data Execution Prevention) ou encore l’exploitation du SEHOP (Structured Exception Handler Overwrite Protection).

Comme annoncé par la firme de Redmond, la prochaine mise à jour de Windows 10 prévue à l’automne 2017 intégrera certaines des fonctionnalités d’EMET, mais d’ici là et pour les autres OS de la marque (Vista SP2/Windows7 Windows 8 et 8.1 et les versions serveurs 2008 et 2012) il reste judicieux d’examiner le coût de déploiement d’une telle solution, même appelée à disparaître en Juillet 2018.

La lecture de l’article du Cert/CC blog (Cf. lien) est édifiante et le tableau qui compare les protections de Windows 7 et 10 avec ou sans EMET suffisamment éloquent pour se convaincre de l’intérêt du produit.

Le mode audit permettra de démarrer doucement avec EMET avant de définir les règles applicables au contexte puis basculer en mode Stop on Exploit pour réellement activer les protections.