Malwarebytes Anti-Exploit: Protección contra Exploits en Windows 10

Malwarebytes Anti-Exploit es una utilidad gratuita de Malwarebytes para Windows que conocí hace muy poco y que viene a complementar la protección que pueda ofrecer cualquier software antivirus tradicional, ya que trabaja de forma muy diferente.

Mientras que un Antivirus te protege mediante una monitorización constante y en tiempo real, MBAE básicamente hace de escudo para una serie de aplicaciones muy comunes y susceptibles de ser explotadas, como navegadores web, java, flash, etc. Sigue estas líneas para ver como te puede proteger.

En este post verás:

  1. Qué es y como funciona Malwarebytes Anti-Exploit
  2. Como descargar e instalar MBAE en Windows
  3. Como debes utilizarlo
  4. Conoce y configura todas las capas de protección
  5. Para animarte a probarlo

Qué es y Como Funciona Malwarebytes Anti-Exploit

Al final, lo que hace es evitar que un posible exploit consiga explotar vulnerabilidades conocidas o desconocidas (vulnerabilidades 0day) en las aplicaciones para conseguir acceder al sistema operativo y ejecutar código arbitrario, instalar malware, etc.

Dicho así suena un poco vago, pero al final si miras las propiedades avanzadas de la aplicación, verás que aplica un buen puñado de protecciones para ‘blindar’ las aplicaciones sobre las que trabaja, como la obligatoriedad de utilizar protecciones como DEP, ASLR, y un largo etcétera que si te parece podemos ir viendo mientras repasamos el programa.

Descargar e Instalar MBAE en Windows

MBAE está disponible para todas las versiones de Windows desde Windows XP hasta Windows 10, tanto de 32 bits como de 64 bits. Puedes descargarlo desde la misma web oficial de Malwarebytes. Verás que hay una versión gratis y una de pago. La única diferencia que hay es el numero de aplicaciones que protege.

Así, mientras la versión Free se limita a navegadores web y Java (que no es poco) la versión Premium va más allá, ofreciendo protección también para Office, lectores PDF como Adobe Reader o Foxit Reader, reproductores de vídeo como VLC, y un largo etc. Aquí tienes los enlaces de descarga:

Una vez instalado veras que MBAE se pone en modo residente, pero realmente no es un proceso que interfiera en absoluto con la protección de un antivirus o antimalware, ya que actúa de modo pro-activo manteniéndose a la espera para forzar una serie de protecciones en el momento que se ejecuta cada una de las aplicaciones que contempla.

Al no basarse en bases de datos de firmas, no requiere de una actualización constante, por lo que realmente es instalarlo, habilitarlo y olvidarse de que lo tienes instalado. Además las actualizaciones son totalmente transparentes al usuario.

Como Debes Utilizarlo

En la ventana principal puedes ver el estado de MBAE, que debería estar en Running, el número aplicaciones que están siendo protegidas en tiempo real (solo cuando se ejecutan), el número de exploits bloqueados, o la versión del programa.

Malwarebytes Anti-Exploit General

Si quieres ver cuales son las aplicaciones que puedes ser protegidas por MBAE, puedes dar un vistazo a la pestaña que pone Shields. Alli puedes ver un listado con todas las aplicaciones.  En el caso de la versión Free (imagen), las aplicaciones protegidas se muestran con un candado cerrado.

Entre las aplicaciones protegidas tenemos a Mozilla Firefox, Google Chrome, Internet Explorer, diferentes ejecutables de Java, e incluso el navegador TOR Browser, basado en Firefox y que te permite navegar anonimamente a través de la red TOR. Otras aplicaciones como Foxit Reader, o Microsoft Office solo disponen de protección en la versión Premium.

Malwarebytes Anti-Exploit Shields

Siguiendo en la pestaña de logs, allí podrás ver un listado con los diferentes eventos de MBAE y así disponer de información precisa sobre el numero de exploits que van siendo bloqueados, etc.

Si ya utilizas MBAE desde hace algún tiempo, seguramente te habrás dado cuenta de que en las versiones más recientes la pestaña de logs suele estar vacía. Esto es porque se han sustituido los registros de protección de aplicaciones por un mensaje emergente en la barra de tareas. De este modo, la pestaña solo muestra información de los logs más relevantes, como intentos de exploit bloqueados.

De hecho, cada vez que abres una de las aplicaciones protegidas por MBAE, veras un mensaje emergente como el de la imagen de abajo en la barra de tareas de Windows. En este caso, en el momento de abrir Chrome me esta informando que esta siendo protegido con MBAE.

Malwarebytes Anti-Exploit Popup

Conoce y Configura Todas las Capas de Protección

Según sus creadores, MBAE actúa partiendo de cuatro capas de protección, ya que en cada una de ellas de actúa de modo preventivo para mitigar técnicas de explotación que corresponden en cierto modo a los diferentes escenarios o fases de ejecución de un exploit en tu sistema.

Todas las aplicaciones llevan asociadas un perfil de protección, por tal de poder establecer diferentes niveles de protección según la aplicación. Como perfiles de protección tenemos los siguientes:

  • Navegadores, para los navegadores no basados en Chrome y sus complementos.
  • Navegadores basados en Chrome, que ya disponen por si solos de más protección gracias a su Sandbox.
  • Lectores de PDF, como Adobe Reader, Foxit Reader, etc.
  • Office, para aplicaciones de ofimática como Microsoft Office o Libre Office.
  • Reproductores multimedia, como Windows Media Player o VLC.
  • Otros, para el resto de aplicaciones que no adoptan ningunos de los demás perfiles.

Para ver en más detalle y editar o personalizar las opciones de protección según estas capas, puedes dirigirte a la pestaña Settings y hacer clic en Advanced Settings. Esta vista esta dividida en cuatro pestañas, y tienes la posibilidad de ajustar al detalle las diferentes protecciones.

En filas se van mostrando las diferentes técnicas de protección, mientras que en columnas podrás ver los perfiles de protección para diferenciar entre aplicaciones.

Application Hardening

En la primera pestaña hace referencia a la primera capa de protección, que es la más básica y se basa en implementar técnicas probadas y conocidas como DEP o ASLR. Aquí tienes la posibilidad de habilitar o deshabilitar el uso obligado de DEP, ASLR o Anti-HeapSprying de modo granular para los diferentes perfiles de aplicaciones disponibles.

Malwarebytes Anti-Exploit Application hardening

DEP (Data Ejecution Prevention) es una característica de seguridad presente en todos los sistemas operativos modernos y que básicamente marca ciertas zonas de la memoria como de no ejecución, para evitar que aplicaciones malintencionadas puedas ejecutar código en ellas.

ASLR (Address Space Loyout Randomization) es una característica más reciente (presente en Windows a partir de Vista, en Linux y en OS X), que básicamente introduce una aleatoriedad en las zonas de memoria en que se ejecutan diferentes procesos, por tal de que sean menos predecibles y se haga más difícil la explotación de vulnerabilidades.

En este sentido, la mayoría de aplicaciones modernas, como Chrome, Firefox, IE, Adobe Reader, etc. ya utilizan DEP permanente y ASLR en el momento de la ejecución, pero en esta pestaña tienes la opción de establecer esa característica para que se aplique de modo forzado (sin excepciones y de forma permanente)

Ten en cuenta que forzar el uso de DEP y ASLR en aplicaciones antiguas o que no han sido diseñadas para funcionar con esas protecciones puede provocar un mal funcionamiento de estas aplicaciones, pero de cara a la mayor seguridad, la situación ideal sería habilitarlo para todas las aplicaciones, y en caso de mal funcionamiento, establecer una excepción.

OS Bypass Protection

La segunda pestaña representa la segunda capa de protección de MBAE. No conozco en absoluto el detalle de las diferentes opciones, pero delante de la duda lo mejor es dejar las opciones tal como vienen por defecto.

Malwarebytes Anti-Exploit OS bypass protection

Advanced Memory Protection

La tercera pestaña hace referencia a otra de las capas de protección, y básicamente ofrece la posibilidad de habilitar en diferentes categorías de aplicaciones una característica denominada Malicious Return Address detection.

Malwarebytes Anti-Exploit memory protection

Application Behavior Protection

La tercera pestaña se refiere a la ultima capa de protección de MBAE, que básicamente tiene efecto cuando todas las demás capas y técnicas de protección han fallado.

Malwarebytes Anti-Exploit Application behavior-protection

Anímate a Probarlo

En primera persona te puedo decir que su uso no perjudica en absoluto el rendimiento global del sistema operativo, y tampoco interfiere en lo mas mínimo con otros softwares antivirus o antimalware que puedes tener, ya que esta concebido para complementar la protección de estos.

Para mucha más información, te recomiendo pasar unos minutos visitando el foro oficial de MBAE, donde tienes muchísimas entradas sobre diferentes temas relacionados con MBAE, como un README, problemas resueltos que va teniendo la gente, etc.

Y para acabar, en el vídeo que de enlazo a continuación puedes ver una demostración de Malwarebytes Anti-Exploit en acción para que te hagas una idea de como funciona en pleno campo de batalla y con muestras reales…

Espero que te haya sido de utilidad esta guía, y se no lo conocías, te animo a utilizar MBAE para tener una protección extra en Windows que seguro que no viene nada mal en estos días… En cualquier caso me encantará leerte en los comentarios debajo;)

Anuncios

9 comentarios en “Malwarebytes Anti-Exploit: Protección contra Exploits en Windows 10

  1. Buenos dias:
    tengo instalado el MALWAREBYTES ANTI-EXPLOIT Premiun y sin embargo ayer fui atacado por virus Interpol Department of Cybercrime. Tengo tengo instalados tambienKaspersky internet security y Malvarebytes anti-malvare premium- La pregunta es el anti-exploit tendria que haber evitado el ataque?. Pude eliminarlo parando el ADSL y pasando el Ccleaner…. o al menos eso creo.
    Saludos

    Me gusta

    • Hola Juan Tomas, perdona por tardar tanto en contestar.
      MBAE es una protección unicamente de cara a la ejecución de exploits que intenten explotar vulnerabilidades de tu navegador web, suite ofimática, reproductor de vídeo, etc. En cualquiera de estos escenarios, se supone que debería actuar (teniendo en cuenta que tampoco es infalible).

      Ahora bien, en otros escenarios posibles en los que puedes resultar infectado por un virus o malware, como por ejemplo al conectar un Pendrive infectado en tu PC, ahí no intervendrá para nada (en todo caso podría intervenir Malwarebytes Anti-Malware, o el antivirus que tengas en tu sistema).

      En el caso que comentas, así a simple vista es un poco complicado saberlo, más bien dirá que depende del “como” has sido infectado. No conocía el virus que comentas, pero por lo que he podido leer lo engloban dentro de la categoría de Ransomware, y si bien puede haberse instalado mediante un exploit a través de tu navegador (ahí entiendo que si podría haber ayudado en algo), también te puede haber entrado por otras vías.

      Por cierto, en Malwarebytes están probando una herramienta que justamente se focaliza en la protección contra el Ransomware. Te paso un enlace por si le quieres echar un ojo (aun está en fase Beta):

      https://blog.malwarebytes.org/malwarebytes-news/2016/01/introducing-the-malwarebytes-anti-ransomware-beta/

      Espero haberte aclarado un poco tu duda;)

      Me gusta

  2. Wouu! La verdad es q tiene buena pinta la aplicacion, sobretodo viniendo de Malwarebytes. Me pregunto que efectividad real tendra comparada con aplicaciones similares como EMET, de Microsoft.

    Me gusta

    • Hola Aaron, pues si te soy sincero no he utilizado mucho EMET, pero por lo que he leído de las dos, parece que la aplicación de Malwarebytes cubre más áreas de protección.

      Me gusta

  3. Genial! Aplicación útil porque no me acuerdo si Adobe Flash o Java venían con un molesto Exploit llamado Searchault quién modificaba la página de Inicio de todos los navegadores sin consetimiento.. Muy molesto la verdad

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s