Härten von Windows-Clients gegen Arbeitspeichermanipulationsangriffe mit einer Memory Exploit Mitigation-Richtlinie

Wie schützt Memory Exploit Mitigation Anwendungen?
Seit Version 14 enthält
Symantec Endpoint Protection
Memory Exploit Mitigation, eine Komponente, die mithilfe verschiedener Verfahren das Ausnutzen von Sicherheitslücken in Software verhindert. Beispiel: Wenn der Clientbenutzer eine Anwendung wie Internet Explorer startet, kann ein Exploit dazu führen, dass stattdessen eine andere Anwendung mit bösartigem Code ausgeführt wird.
Zum Blockieren des Angriffs fügt Memory Exploit Mitigation eine DLL in eine geschützte Anwendung ein. Nachdem Memory Exploit Mitigation einen Angriffsversuch erkannt hat, blockiert die Software dann entweder den Angriff oder beendet die bedrohte Anwendung
Symantec Endpoint Protection
zeigt eine Benachrichtigung zur Erkennung auf dem Clientcomputer an und protokolliert das Ereignis im Sicherheitsprotokoll des Client.
Beispiel: Auf dem Client wird folgende Benachrichtigung angezeigt:
Symantec Endpoint Protection: Attack: Structured Exception Handler Overwrite erkannt. Symantec Endpoint Protection wird beendet.
<application name>
Anwendung
Memory Exploit Mitigation blockiert das Exploit dann weiterhin oder beendet die Anwendung, bis auf dem Clientcomputer eine Version der Software ausgeführt wird, in der die Sicherheitslücke behoben wurde.
In Version 14 MPx hieß Memory Exploit Mitigation "Generic Exploit Mitigation".
Schutztypen
Memory Exploit Mitigation nutzt verschiedene Verfahren zum Verarbeiten von Exploits, je nachdem, welche Anwendung betroffen ist. Beispielsweise blockieren die Verfahren "StackPvt" und "RopHeap" Exploits, die Internet Explorer angreifen.
Ist auf den Computern die Funktion "Microsoft App-V" aktiviert, schützt Memory Exploit Mitigation die von App-V geschützten Microsoft Office-Prozesse nicht.
Anforderungen für Memory Exploit Mitigation
Memory Exploit Mitigation ist nur verfügbar, wenn der Angriffsschutz installiert ist. Memory Exploit Mitigation hat einen eigenen Satz von Signaturen, die zusammen mit Angriffsschutz-Definitionen heruntergeladen werden. Sie können jedoch Angriffsschutz und Memory Exploit Mitigation unabhängig voneinander aktivieren oder deaktivieren.
Seit Version 14.0.1 hat Memory Exploit Mitigation eine eigene Richtlinie. In Version 14 MPx war sie Teil der Angriffsschutzrichtlinie. Wenn Sie auf der Registerkarte
Überblick
die Richtlinie "Angriffsschutz" deaktivieren, wird Memory Exploit Mitigation deaktiviert.
Sie müssen außerdem LiveUpdate mindestens einmal ausführen, damit die Anwendungsliste in der Memory Exploit Mitigation-Richtlinie angezeigt wird. Der Schutz ist standardmäßig für alle Anwendungen in der Richtlinie aktiviert.
Korrigieren und Verhindern von Falschmeldungen
Gelegentlich beendet Memory Exploit Mitigation eventuell versehentlich eine Anwendung auf dem Clientcomputer. Wenn Sie wissen, dass das Verhalten einer Anwendung legitim ist, handelt es sich um eine Falschmeldung. Bei Falschmeldungen sollten Sie den Schutz deaktivieren, bis Symantec Security Response die Funktionsweise von Memory Exploit Mitigation ändert.
In der folgenden Tabelle werden die Schritte für die Bearbeitung von Falschmeldungen beschrieben.
Suchen und Korrigieren von Falschmeldungen
Aufgaben
Schritt 1: Erkennen, ob Anwendungen unerwartet auf den Clientcomputern beendet werden
Es gibt folgende Möglichkeiten:
  • Ein Benutzer auf dem Clientcomputer benachrichtigt Sie, dass eine Anwendung nicht ausgeführt wird.
  • Öffnen Sie das Memory Exploit Mitigation-Protokoll bzw. den Bericht, das bzw. der enthält, welches Verfahren die Anwendung auf dem Clientcomputer beendet hat.
Die Verfahren erstellen je nach Exploit nicht immer ein Protokoll.
Schritt 2: Deaktivieren des Schutzes und Prüfen der Verfahren, die die Anwendung beendet haben
Deaktivieren Sie den Schutz zuerst auf der geringsten Stufe, damit andere Prozesse weiterhin geschützt sind. Deaktivieren Sie Memory Exploit Mitigation nicht, damit die Anwendung ausgeführt werden kann, bis Sie alle anderen Verfahren getestet haben.
Gehen Sie nach den folgenden Unteraufgaben zu Schritt 3.
  1. Prüfen Sie zuerst den Schutz für die Anwendung, die beendet wurde.
    Beispiel: Wurde Mozilla Firefox beendet, deaktivieren Sie entweder das Verfahren "SEHOP" oder "HeapSpray". Da ja nach Exploit Ereignisse nicht immer protokolliert werden, ist nicht immer erkennbar, welches Verfahren eine Anwendung beendet hat. Sie sollten dann die Verfahren, die die Anwendung schützen, nacheinander deaktivieren, bis Sie das Verfahren finden, das die Anwendung beendet hat.
  2. Prüfen Sie den Schutz aller Anwendungen, die von einem bestimmten Verfahren geschützt werden.
  3. Prüfen Sie den Schutz aller Anwendungen, unabhängig vom Verfahren. Dies funktioniert ähnlich wie das Deaktivieren von Memory Exploit Mitigation, wobei jedoch der Management-Server die Erkennungsereignisse protokolliert. Verwenden Sie dieses Verfahren, um zu prüfen, ob auf 14 MPx-Clients Falschmeldungen erzeugt wurden.
Schritt 3: Aktualisieren der Richtlinie auf dem Clientcomputer und erneutes Ausführen der Anwendung
  • Wird die Anwendung korrekt ausgeführt, ist die Erkennung durch dieses Verfahren eine Falschmeldung.
  • Wird die Anwendung nicht ordnungsgemäß ausgeführt, handelt es sich um ein tatsächlich positive Meldung.
  • Wird die Anwendung weiterhin beendet, prüfen Sie auf einer eingeschränkten Stufe. Beispiel: Prüfen Sie ein anderes Minderungsverfahren oder alle Anwendungen, die von diesem Verfahren geschützt werden.
Schritt 4: Melden der Falschmeldungen und erneutes Aktivieren des Schutzes für positive Meldungen
Verarbeiten von Falschmeldungen:
  1. Informieren Sie das Symantec-Team, dass die Erkennung eine Falschmeldung war. Weitere Informationen finden Sie unter Symantec Insider-Tipp: Erfolgreiche Übertragungen!
  2. Deaktivieren Sie den Schutz für die beendete Anwendung, indem Sie alle Aktionen des Verfahrens auf
    Nein
    setzen.
  3. Nachdem Security Response das Problem behoben hat, aktivieren Sie den Schutz wieder, indem Sie die Aktionen auf
    Ja
    setzen.
Verarbeiten von tatsächlichen Erkennungen:
  1. Aktivieren Sie den Schutz erneut und ändern Sie die Aktion für das entsprechende Verfahren in
    Ja
    .
  2. Prüfen Sie, ob eine gepatchte oder neue Version der infizierten Anwendung verfügbar ist, in der die Sicherheitslücke behoben wurde. Nachdem Sie die neue Version auf dem Clientcomputer installiert haben, führen Sie sie aus und prüfen Sie, ob Memory Exploit Mitigation sie weiterhin beendet.
Suchen der Protokolle und Berichte für Memory Exploit Mitigation-Ereignisse
Sie müssen die Protokolle anzeigen und Schnellberichte ausführen, um die Anwendungen zu finden, die von Memory Exploit Mitigation beendet wurden.
  1. Führen Sie folgende Schritte auf der Konsole aus:
    • Protokolle: Wählen Sie
      Monitors
      >
      Protokolle
      > Protokolltyp
      Network and Host Exploit Mitigation
      > Protokoll
      Memory Exploit Mitigation
      >
      Protokoll anzeigen
      .
      Suchen Sie den Ereignistyp
      Memory Exploit Mitigation - Blockierereignis
      . Die Spalte
      Ereignistyp
      enthält das Minderungsverfahren und die Spalte
      Aktion
      gibt an, ob die Anwendung in der Spalte
      Anwendungsname
      blockiert wurde. Beispiel: Das folgende Protokollereignis gibt einen Stack Pivot-Angriff an:
      Attack: Return Oriented Programming Changes Stack Pointer
    • Schnellberichte: Wählen Sie
      Berichte
      >
      Schnellberichte
      > Berichtstyp
      Network and Host Exploit Mitigation
      > Bericht
      Memory Exploit Mitigation-Erkennungen
      >
      Bericht erstellen
      .
      Suchen Sie die blockierten Memory Exploit Mitigation-Erkennungen.
  2. Prüfen des Schutzes einer beendeten Anwendung
    Wenn Sie auf Falschmeldungen testen, konfigurieren Sie Memory Exploit Mitigation so, dass Erkennungen zwar geprüft, aber die Anwendung nicht beendet wird. Memory Exploit Mitigation schützt dabei die Anwendung nicht.
    So prüfen Sie den Schutz einer beendeten Anwendung
  3. Klicken Sie in der Konsole auf
    Richtlinien
    >
    Memory Exploit Mitigation
    >
    Memory Exploit Mitigation
    .
  4. Wählen Sie auf der Registerkarte
    Minderungsverfahren
    neben
    Wählen Sie ein Minderungsverfahren
    das Verfahren (z. B.
    StackPvt
    ) aus, das die Anwendung beendet hat.
  5. Wählen Sie in der Spalte
    Geschützt
    die beendete Anwendung aus und ändern Sie
    Standard (Ja)
    in
    Nur protokollieren
    .
    Ändern Sie die Aktion in
    Nein
    , nachdem Sie verifiziert haben, dass es sich um eine tatsächliche Falschmeldung handelt. Die beiden Optionen
    Nur protokollieren
    und
    Nein
    lassen zwar das mögliche Exploit zu, beenden aber die Anwendung nicht.
    Für bestimmte Anwendungen sind mehrere Minderungsverfahren verfügbar, die das Exploit blockieren. Folgen Sie daher jeweils den entsprechenden Anweisungen.
  6. (Optional) Führen Sie einen der folgenden Schritte aus, und klicken Sie anschließend auf
    OK
    :
    • Wenn Sie nicht wissen, welches Verfahren die Anwendung beendet hat, klicken Sie auf
      Schutzaktion für alle Anwendungen in dieser Liste wählen
      . Diese Option übergeht die Einstellungen für das jeweilige Verfahren.
    • Wenn Sie Clients sowohl mit Version 14.0.1 und der älteren Version 14 MPx nutzen und nur die 14.0.1-Clients testen möchten, klicken Sie auf
      Schutzaktion für alle Verfahren auf ’Nur protokollieren’ festlegen
      .
  7. (Optional) Sie können die Anwendung unabhängig vom Verfahren testen, indem Sie auf der Registerkarte
    Anwendungsregeln
    in der Spalte
    Geschützt
    das Kontrollkästchen für die beendete Anwendung deaktivieren und dann auf
    OK
    klicken.
    Für Legacy-Clients (Version 14 MPx) ist nur diese Option verfügbar. Nachdem Sie alle Clients auf Version 14.0.1 aktualisiert haben, aktivieren Sie den Schutz erneut und optimieren Sie die Einstellungen. Das Protokoll
    Computerstatus
    gibt an, auf welchen Computern welche Version ausgeführt wird.
  8. Klicken Sie in der Konsole auf
    Richtlinien
    >
    Memory Exploit Mitigation
    .
  9. Deaktivieren Sie das Kontrollkästchen
    Memory Exploit Mitigation aktivieren
    .
  10. Klicken Sie auf
    OK
    .
  11. Gewährleisten Sie, dass in
    Symantec Endpoint Protection Manager
    die Funktion "Symantec Insight" aktiviert ist. Insight ist standardmäßig aktiviert.
  12. Laden Sie das Tool "SymDiag" auf den Clientcomputer herunter und führen Sie es aus. Weitere Informationen finden Sie unter Herunterladen von SymDiag zum Erkennen von Produktproblemen.
  13. Klicken Sie auf der
    Startseite
    von SymDiag auf
    Daten für Support erfassen
    und wählen Sie unter
    Debug-Protokolle
    >
    Erweitert
    für die Einstellung
    Verfolgungsstufe der
    WPP-Protokollierung
    die Option
    Ausführlich
    .
  14. Reproduzieren Sie die Falschmeldung.
  15. Senden Sie die
    .sdbz-Datei
    nach Abschluss der Protokollerfassung an , indem Sie einen neuen Fall erstellen bzw. einen vorhandenen mit diesen neuen Informationen aktualisieren.
  16. Rufen Sie die SymSubmit-Website auf und führen Sie folgende Schritte aus:
    • Geben Sie an, wann die Erkennung auftrat, wählen Sie das Produkt
      B2 Symantec Endpoint Protection 14.x
      und dann das Ereignis
      C5 - IPS
      aus.
    • Geben Sie im Kommentar die Fallnummer für den technischen Support aus dem vorherigen Schritt, die Anwendung, die die MEM-Erkennung ausgelöst hat, und deren Versionsnummer an.
      Beispiel: "
      Blockierter Angriff: Return Oriented Programming API Invocation-Angriff gegen C:\Programme\VideoLAN\VLC\vlc.exe
      , die Version von vlc.exe ist 2.2.0-git-20131212-0038. Dies ist nicht die neueste verfügbare Version, sondern die Version, die in unserem Unternehmen eingesetzt wird."
  17. Komprimieren Sie auf dem Clientcomputer eine Kopie des Ordners
    %PROGRAMDATA%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\ccSubSDK
    .
    Senden Sie die ZIP-Datei sowie die Verfolgungsnummer des Falls, der im vorherigen Schritt erstellt wurde, an den technischen Support. Der technische Support prüft, ob alle erforderlichen Protokolle und Informationen vorhanden und der Untersuchung der Falschmeldung zugeordnet sind.