Reforço de clientes Windows contra ataques de adulteração de memória com uma política de mitigação de explorações da memória

Como a mitigação de explorações da memória protege os aplicativos?
A partir da versão 14, o
Symantec Endpoint Protection
apresenta a mitigação de explorações da memória, que usa várias técnicas de atenuação para impedir ataques de vulnerabilidades do software. Por exemplo, quando o usuário do cliente executar um aplicativo, como Internet Explorer, uma exploração poderá iniciar um aplicativo diferente que contém código malicioso.
Para impedir uma exploração, a mitigação de explorações da memória insere uma DLL em um aplicativo protegido. Depois que a mitigação de explorações da memória detectar a tentativa de exploração, ela bloqueará a exploração ou encerrará o aplicativo ameaçado pela exploração. O
Symantec Endpoint Protection
exibe uma notificação para o usuário no computador cliente sobre a detecção e registra o evento no log de segurança do cliente.
Por exemplo, o usuário do cliente poderá visualizar a seguinte notificação:
Symantec Endpoint Protection: Attack: Structured Exception Handler Overwrite detected. O Symantec Endpoint Protection será encerrado
<nome do aplicativo>
aplicativo
A mitigação de explorações da memória continuará bloqueando a exploração ou encerrando o aplicativo até que o computador-cliente execute uma versão do software com a vulnerabilidade corrigida.
No 14 MPx, a Mitigação de explorações da memória foi chamada de Mitigação genérica de explorações.
Tipos de proteção contra explorações
A mitigação de explorações da memória usa vários tipos de técnicas de atenuação para controlar a exploração, aplicando a técnica mais apropriada de acordo com o tipo de aplicativo. Por exemplo, as técnicas StackPvt e RopHeap bloqueiam as explorações que atacam o Internet Explorer.
Se você tiver ativado o recurso Microsoft App-V nos computadores, a mitigação genérica de explorações não protegerá os processos do Microsoft Office protegidos pelo App-V.
Requisitos de mitigação de explorações da memória
A mitigação de explorações da memória somente estará disponível se a prevenção contra intrusões estiver instalada. A mitigação de explorações da memória tem seu próprio conjunto de assinaturas separadas, cujo download é feito em conjunto com as definições da prevenção contra intrusões. No entanto, é possível ativar ou desativar a prevenção contra intrusões e a mitigação de explorações da memória separadamente.
Da versão 14.0.1 em diante, a mitigação de explorações da memória tem sua própria política. Nas versões 14 MPx, ela faz parte da política de prevenção contra intrusões. Se essa política for desativada na guia
Visão geral
, a mitigação de explorações da memória será desativada.
Além disso, é necessário executar o LiveUpdate pelo menos uma vez para exibir a lista de aplicativos na mitigação de explorações da memória. Por padrão, a proteção está ativada em todos os aplicativos que aparecem na política.
Como corrigir e impedir falsos positivos
Às vezes, a mitigação de explorações da memória encerra um aplicativo no computador-cliente involuntariamente. Se você determinar que o comportamento do aplicativo é legítimo e não houve exploração, a detecção será um falso positivo. Nos falsos positivos, será necessário desativar a proteção até que o Symantec Security Response altere o comportamento da mitigação de explorações da memória.
A tabela a seguir exibe as etapas para lidar com detecções de falsos positivos.
Etapas para localizar e corrigir um falso positivo
Tarefas
Etapa 1: Descobrir quais aplicativos foram encerrados inesperadamente nos computadores-cliente.
Você pode descobrir quais aplicativos foram encerrados no computador-cliente das seguintes formas:
  • Um usuário do computador cliente notifica você que um aplicativo não está em execução.
  • Abra o log de mitigação de explorações da memória ou o relatório que relaciona qual técnica de mitigação encerrou os aplicativos no computador-cliente.
Às vezes, as técnicas de mitigação não geram logs devido à natureza da exploração.
Etapa 2: desativar a proteção e auditar as técnicas que encerram o aplicativo.
Desative a proteção no nível mais básico primeiro, de modo que outros processos continuem protegidos. Não desative a mitigação de explorações da memória para permitir que o aplicativo seja executado até que você tenha tentado todos os outros métodos.
Após cada uma destas subtarefas, vá para a etapa 3.
  1. Primeiro, faça a auditoria da proteção no aplicativo específico que foi encerrado pela técnica de mitigação.
    Por exemplo, se o Mozilla Firefox for encerrado, desative a técnica SEHOP ou a técnica de heap spray. Às vezes, uma técnica de mitigação não cria eventos de log devido à natureza da exploração, de modo que você não sabe ao certo qual técnica encerrou o aplicativo. Nesse caso, você deve desativar cada técnica que protege esse aplicativo, uma por vez, até encontrar aquela que causou o encerramento.
  2. Faça a auditoria da proteção de todos os aplicativos protegidos por uma só técnica de mitigação.
  3. Faça a auditoria da proteção de todos os aplicativos, independentemente da técnica. Essa opção é semelhante a desativar a mitigação de explorações da memória, exceto pelo fato de que o servidor de gerenciamento coleta os eventos de log das detecções. Use essa opção para verificar a existência de falsos positivos nos clientes 14 MPx legados.
Etapa 3: atualizar a política no computador cliente e executar o aplicativo novamente.
  • Se o aplicativo for executado corretamente, a detecção dessa técnica de mitigação será um falso positivo.
  • Se o aplicativo não for executado da maneira esperada, a detecção será verdadeira.
  • Se o aplicativo for encerrado mesmo assim, faça a auditoria em um nível restrito. Por exemplo, audite uma técnica de mitigação diferente ou todos os aplicativos que a técnica protege.
Etapa 4: Relatar os falsos positivos e reativar a proteção para as explorações reais.
Para detecções de falsos positivos:
  1. Avise a equipe da Symantec que a detecção foi um falso positivo. Consulte Symantec Insider Tip: Successful Submissions! (em inglês)
  2. Defina a ação de cada técnica como
    Não
    para manter a proteção desativada no aplicativo encerrado.
  3. Depois que o Security Response resolver o problema, reative a proteção alterando a ação da técnica para
    Sim
    .
Para detecções de explorações reais:
  1. Reative a proteção alterando a ação da regra dessa técnica de mitigação para
    Sim
    .
  2. Verifique se há uma versão corrigida por patch ou uma versão mais recente do aplicativo infectado que corrija a vulnerabilidade. Depois de instalar o aplicativo corrigido por patch, execute-o novamente no computador cliente para verificar se a mitigação de explorações da memória encerrará o aplicativo.
Como encontrar os logs e relatórios de eventos de mitigação de explorações da memória
É necessário exibir os logs e executar relatórios rápidos para localizar os aplicativos encerrados pela mitigação de explorações da memória.
  1. No console, execute uma das seguintes ações:
    • Nos logs, clique em
      Monitores
      >
      Logs
      > tipo de log
      Mitigação de explorações do host e da rede
      > conteúdo do log
      Mitigação de explorações da memória
      >
      Exibir log
      .
      Procure o tipo de evento
      Evento bloqueado da Mitigação de explorações da memória
      . A coluna
      Tipo de evento
      lista a técnica de mitigação, e a coluna
      Ação
      relaciona se o aplicativo na coluna
      Nome do aplicativo
      foi bloqueado. Por exemplo, o seguinte evento de log indica um ataque de tabela dinâmica de pilha (stack pivot):
      Attack: Return Oriented Programming Changes Stack Pointer
    • Para obter relatórios rápidos, clique em
      Relatórios
      >
      Relatórios rápidos
      > tipo de relatório
      Mitigação de explorações do host e da rede
      >
      relatório Detecções da Mitigação de explorações da memória
      >
      Criar Relatório
      .
      Procure as detecções da mitigação de explorações da memória bloqueadas.
  2. Como auditar a proteção de um aplicativo encerrado
    Quando você procurar falsos positivos, altere o comportamento da mitigação de explorações da memória de forma que ela audite as detecções, mas permita que o aplicativo seja executado. Entretanto, a mitigação de explorações da memória não protege o aplicativo.
    Para auditar a proteção de um aplicativo encerrado
  3. No console, clique em
    Políticas
    >
    Mitigação de explorações da memória
    >
    Mitigação de explorações da memória
    .
  4. Na guia
    Técnicas de mitigação
    , ao lado de
    Selecione uma técnica de mitigação
    , escolha a técnica que encerrou o aplicativo, como
    StackPvt
    .
  5. Na coluna
    Protegido
    , selecione o aplicativo encerrado e altere
    Padrão (Sim)
    para
    Somente registrar em log
    .
    Altere a ação para
    Não
    depois de verificar se a detecção é mesmo um falso positivo. Tanto
    Somente registrar em log
    quanto
    Não
    permitem a possível exploração, mas também permitem a execução do aplicativo.
    Alguns aplicativos têm várias técnicas de mitigação que bloqueiam a exploração. Por isso, siga essa etapa para cada técnica individualmente.
  6. (Opcional) Siga uma das etapas a seguir e clique em
    OK
    :
    • Se você não tiver certeza de qual técnica encerrou o aplicativo, clique em
      Selecione uma ação de proteção para todos os aplicativos desta técnica
      . Essa opção se sobrepõe às configurações de cada técnica.
    • Se você tiver uma combinação de clientes 14.0.1 e clientes legados 14 MPx e quiser testar apenas os clientes 14.0.1, clique em
      Defina a ação de proteção para todas as técnicas como Somente registrar em log
      .
  7. (Opcional) Para testar o aplicativo independentemente da técnica, na guia
    Regras de aplicativos
    , na coluna
    Protegido
    , desmarque o aplicativo encerrado e clique em
    OK
    .
    Nos clientes 14 MPx legados, essa é a única opção possível. Após fazer upgrade para a versão 14.0.1 dos clientes, reative a proteção e faça o ajuste mais refinado da granularidade. Abra o log
    Status do computador
    para descobrir a versão do produto executada por cada cliente.
  8. No console, clique em
    Políticas
    >
    Mitigação de explorações da memória
    .
  9. Desmarque
    Ativar Mitigação de explorações da memória
    .
  10. Clique em
    OK
    .
  11. No
    Symantec Endpoint Protection Manager
    , certifique-se de que o Symantec Insight esteja ativado. O Insight fica ativado por padrão.
  12. Faça o download e execute a ferramenta SymDiag no computador-cliente. Consulte: Como fazer download do SymDiag para detectar problemas do produto
  13. Na página
    Início
    da ferramenta SymDiag, clique em
    Coletar dados para suporte
    e, na opção
    Registro em log de depuração
    >
    Avançado
    , defina
    Depuração WPP
    >
    Nível de rastreamento
    como
    Detalhado
    .
  14. Reproduza a detecção de falso positivo.
  15. Assim que a coleta de logs for concluída, envie o arquivo
    .sdbz
    para abrindo um novo caso ou atualizando um caso existente com essas novas informações.
  16. Envie o aplicativo detectado para o site SymSubmit e execute as seguintes tarefas:
    • Selecione quando a detecção ocorreu, escolha o produto
      B2 Symantec Endpoint Protection 14.x
      e clique no evento
      C5 - IPS
      .
    • Nas notas do envio, forneça o número do caso de Suporte Técnico da etapa anterior, o aplicativo que acionou a detecção de MEM e os detalhes sobre o número de versão do aplicativo.
      Por exemplo, você deve adicionar: "
      "Ataque bloqueado: ataque de chamada de API de ROP (Return-Oriented Programming) contra C:\Arquivos de Programas\VideoLAN\VLC\vlc.exe"
      , a versão do arquivo vlc.exe é 2.2.0-git-20131212-0038. Esta não é a versão mais recente, mas é a versão que nossa organização precisa usar."
  17. No computador cliente, compacte uma cópia da pasta de envios localizada em:
    %PROGRAMDATA%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\ccSubSDK
    .
    Envie esta pasta ao Suporte Técnico e passe para a equipe o número de rastreamento do envio de falsos positivos que você fez na etapa anterior. O Suporte Técnico garante que todos os logs necessários e materiais fiquem intactos e sejam associados à investigação de falsos positivos.