Fortalecimiento de la seguridad de los clientes de Windows frente a los ataques de intervención de la memoria con una política de mitigación de puntos vulnerables en la memoria

¿De qué manera la mitigación de puntos vulnerables en la memoria protege a las aplicaciones?
A partir de la versión 14,
Symantec Endpoint Protection
incluye la función Mitigación de puntos vulnerables en la memoria, la cual usa varias técnicas de mitigación para detener los ataques de una vulnerabilidad del software. Por ejemplo, cuando el usuario de cliente ejecuta una aplicación, como Internet Explorer, un punto vulnerable puede iniciar otra aplicación que contenga código malicioso.
Para detener un punto vulnerable, la función Mitigación de puntos vulnerables en la memoria inyecta un archivo DLL en una aplicación protegida. Después de que la función Mitigación de puntos vulnerables en la memoria detecta el intento de ataque de un punto vulnerable, bloquea el punto vulnerable o termina la aplicación a la cual amenaza el punto vulnerable.
Symantec Endpoint Protection
muestra una notificación al usuario del equipo cliente sobre la detección y registra el evento en el Registro de seguridad del cliente.
Por ejemplo, el usuario de cliente puede recibir la siguiente notificación:
Symantec Endpoint Protection: Attack: Structured Exception Handler Overwrite detected. Symantec Endpoint Protection will terminate
<nombre de la aplicación>
aplicación
La función Mitigación de puntos vulnerables de memoria bloquea el punto vulnerable o termina la aplicación hasta que el equipo cliente ejecute una versión del software en la cual la vulnerabilidad esté reparada.
En la versión 14 MPx, la función Mitigación de puntos vulnerables en la memoria se denominaba Mitigación de puntos vulnerables genéricos.
Tipos de protección de puntos vulnerables
La función Mitigación de puntos vulnerables en la memoria usa varios tipos de técnicas de mitigación para controlar los puntos vulnerables, según la técnica que resulte más adecuada para el tipo de aplicación. Por ejemplo, las técnicas StackPvt y RopHeap bloquean los puntos vulnerables que atacan a Internet Explorer.
Si tiene habilitada la función Microsoft App-V en sus equipos, la función Mitigación de puntos vulnerables de memoria no protege los procesos de Microsoft Office que protege App-V.
Requisitos de la mitigación de puntos vulnerables en la memoria
La función Mitigación de puntos vulnerables de memoria está disponible solamente si se instaló la prevención de intrusiones. La función Mitigación de puntos vulnerables de memoria tiene su propio conjunto de firmas aparte que se descargan junto con las definiciones de la prevención de intrusiones. Sin embargo, es posible habilitar o deshabilitar la prevención de intrusiones y la función Mitigación de puntos vulnerables en la memoria por separado.
A partir de la versión 14.0.1, la función Mitigación de puntos vulnerables en la memoria tiene su propia política. En las versiones 14 MPx, forma parte de la Política de prevención de intrusiones; si se deshabilita la Política de prevención de intrusiones en la ficha
Descripción general
, se deshabilita la función Mitigación de puntos vulnerables en la memoria.
Además, es necesario ejecutar LiveUpdate al menos una vez para que aparezca la lista de aplicaciones en la política de mitigación de puntos vulnerables en la memoria. De forma predeterminada, la protección se habilita para todas las aplicaciones que aparecen en la política.
Corrección y prevención de falsos positivos
En ciertas ocasiones, la función Mitigación de puntos vulnerables en la memoria puede terminar accidentalmente una aplicación en el equipo cliente. Si se determina que el comportamiento de una aplicación es legítimo y no contenía puntos vulnerables, la detección es un falso positivo. En el caso de los falsos positivos, es necesario deshabilitar la protección hasta que Symantec Security Response cambie el comportamiento de Mitigación de puntos vulnerables en la memoria.
La tabla siguiente muestra los pasos para controlar las detecciones de falsos positivos.
Pasos para buscar y reparar un falso positivo
Tareas
Paso 1: Averigüe cuáles son las aplicaciones que se terminaron inesperadamente en los equipos cliente.
Es posible averiguar qué aplicaciones se terminaron en el equipo cliente de las siguientes maneras:
  • Un usuario del equipo cliente le informa que una aplicación no funciona.
  • Abra el registro o el informe de Mitigación de puntos vulnerables en el cual se especifica la técnica de mitigación que terminó las aplicaciones en el equipo cliente.
A veces, las técnicas de mitigación no generan registros debido a la naturaleza del punto vulnerable.
Paso 2: Deshabilite la protección y audite las técnicas que terminaron la aplicación.
Deshabilite la protección, primero, al mínimo nivel posible, de modo que los otros procesos permanezcan protegidos. No desactive la función Mitigación de puntos vulnerables en la memoria de modo que la aplicación funcione hasta que se prueben todos los demás métodos.
Después de cada una de las siguientes subtareas, vaya al paso 3.
  1. Primero, audite la protección de la aplicación específica que terminó la técnica de mitigación.
    Por ejemplo, si se terminó Mozilla Firefox, se deberían deshabilitar la técnica SEHOP o la técnica HeapSpray. A veces, una técnica de mitigación no crea eventos de registro debido a la naturaleza del punto vulnerable y, por lo tanto, no se puede determinar con seguridad cuál fue la técnica de mitigación que terminó la aplicación. En ese caso, se debe deshabilitar una de las técnicas que protegen esa aplicación por vez hasta encontrar la técnica que provocó la terminación.
  2. Audite la protección de todas las aplicaciones que protege una única técnica de mitigación.
  3. Audite la protección de todas las aplicaciones, sin importar la técnica. Esta opción es similar a la deshabilitación de la función Mitigación de puntos vulnerables en la memoria, excepto por el hecho de que el servidor de administración recopila los eventos de registro de las detecciones. Use esta opción para comprobar si hay falsos positivos en los clientes de la versión anterior 14 MPx.
Paso 3: Actualice la política en el equipo cliente y vuelva a ejecutar la aplicación.
  • Si la aplicación funciona correctamente, la detección de esa técnica de mitigación es un falso positivo.
  • Si la aplicación no funciona como debería, la detección es un verdadero positivo.
  • Si la aplicación se termina, de todos modos, realice la auditoría a un nivel menos restrictivo. Por ejemplo, audite otra técnica de mitigación o todas las aplicaciones que protege la técnica.
Paso 4: Informe los falsos positivos y vuelva a habilitar la protección para los verdaderos positivos.
En el caso de las detecciones de falsos positivos:
  1. Notifique al equipo de Symantec que la detección ha sido un falso positivo. Consulte Sugerencia interna de Symantec: envíos correctos.
  2. Mantenga deshabilitada la protección para la aplicación que se terminó configurando la acción de cada técnica en
    No
    .
  3. Una vez que la respuesta de seguridad soluciona la incidencia, vuelva a habilitar la protección cambiando la acción de la técnica a
    .
En el caso de las detecciones de verdaderos positivos:
  1. Vuelva a habilitar la protección cambiando nuevamente la acción de la regla para la técnica de mitigación a
    .
  2. Compruebe si hay una versión con parche o una versión más reciente de la aplicación infectada que repare la vulnerabilidad actual. Después de instalar la aplicación con parche, vuelva a ejecutarla en el equipo cliente para controlar si la mitigación de puntos vulnerables en la memoria sigue finalizando la aplicación.
Búsqueda de registros e informes para los eventos de mitigación de puntos vulnerables en la memoria
Es necesario ver los registros y ejecutar informes rápidos para identificar cuáles fueron las aplicaciones que terminó la función Mitigación de puntos vulnerables en la memoria.
  1. En la consola, realice una de las siguientes acciones:
    • Para los registros, haga clic en
      Supervisión
      >
      Registros
      > tipo de registro
      Mitigación de puntos vulnerables de red y host
      > contenido de registro
      Mitigación de puntos vulnerables en la memoria
      >
      Ver registro
      .
      Busque el tipo de evento
      Evento de mitigación de puntos vulnerables en la memoria bloqueado
      . La columna
      Tipo de evento
      especifica la técnica de mitigación y la columna
      Acción
      especifica si se bloqueó la aplicación de la columna
      Nombre de la aplicación
      . Por ejemplo, el siguiente evento de registro indica un ataque de Stack Pivot:
      Attack: Return Oriented Programming Changes Stack Pointer (Ataque: Programación orientada al retorno cambia puntero de pila)
    • Para los informes rápidos, haga clic en
      Informes
      >
      Informes rápidos
      > tipo de informe
      Mitigación de puntos vulnerables de red y host
      > informe
      Detecciones de mitigación de puntos vulnerables en la memoria
      >
      Crear informe
      .
      Busque las detecciones bloqueadas de Mitigación de puntos vulnerables en la memoria.
  2. Auditoría de la protección para una aplicación terminada
    Al realizar pruebas en busca de falsos positivos, cambie el comportamiento de Mitigación de puntos vulnerables de memoria de modo que audite una detección, pero permita que se ejecute la aplicación. Sin embargo, la función Mitigación de puntos vulnerables de memoria no protege la aplicación.
    Para auditar la protección para una aplicación terminada
  3. En la consola, haga clic en
    Políticas
    >
    Mitigación de puntos vulnerables en la memoria
    >
    Mitigación de puntos vulnerables en la memoria
    .
  4. En la ficha
    Técnicas de mitigación
    , junto a
    Elegir técnica de mitigación
    , seleccione la técnica que terminó la aplicación, como
    StackPvt
    .
  5. En la columna
    Protegido
    , seleccione la aplicación terminada y, luego, cambie
    Predet. (Sí)
    a
    Solo registrar
    .
    Cambie la acción a
    No
    después de verificar que la detección sea un falso positivo. Las dos opciones,
    Solo registrar
    y
    No
    , admiten el posible punto vulnerable, pero permiten que la aplicación se ejecute.
    Algunas aplicaciones tienen varias técnicas de mitigación que bloquean el punto vulnerable, de modo que realice este paso individualmente para cada técnica.
  6. (Opcional) Realice uno de los pasos siguientes y, a continuación, haga clic en
    Aceptar
    :
    • Si no está seguro de cuál sea la técnica que terminó la aplicación, haga clic en
      Elegir una acción de protección para todas las aplicaciones para esta técnica
      . Esta opción anula la configuración para cada técnica.
    • Si tiene una combinación de clientes de la versión 14.0.1 y de la versión anterior 14 MPx, y solo desea probar los clientes de la versión 14.0.1, haga clic en
      Configurar la acción de protección para todas las técnicas como Solo registrar
      .
  7. (Opcional) Para probar la aplicación sin tener en consideración la técnica, en la ficha
    Reglas de la aplicación
    , en la columna
    Protegido
    , desactive la aplicación terminada y, a continuación, haga clic en
    Aceptar
    .
    Para los clientes de la versión anterior 14 MPx, solo es posible usar esta opción. Después de realizar la actualización a clientes de la versión 14.0.1, vuelva a habilitar la protección y realice una optimización más detallada. Abra el registro
    Estado del equipo
    para determinar la versión del producto que ejecuta cada cliente.
  8. En la consola, haga clic en
    Políticas
    >
    Mitigación de puntos vulnerables en la memoria
    .
  9. Anule la selección de
    Habilitar la mitigación de puntos vulnerables en la memoria
    .
  10. Haga clic en
    Aceptar
    .
  11. En
    Symantec Endpoint Protection Manager
    , asegúrese de que Symantec Insight esté habilitado. De forma predeterminada, Insight está habilitado.
  12. Descargue y ejecute la herramienta SymDiag en el equipo cliente. Consulte: Descarga de SymDiag para detectar problemas con el producto.
  13. En la página
    Inicio
    de la herramienta SymDiag, haga clic en
    Recopilar datos para soporte
    y, en la opción
    Registro de depuración
    >
    Opciones avanzadas
    , configure
    Depuración WPP
    >
    Nivel de rastreo
    en
    Detallado
    .
  14. Reproducir la detección del falso positivo.
  15. Una vez que la recopilación de registros finaliza, envíe el archivo
    .sdbz
    a abriendo un nuevo caso o actualizando un caso existente con esta nueva información.
  16. Envíe la aplicación detectada al sitio de SymSubmit y realice las siguientes tareas:
    • Elija cuándo se ha producido la detección, elija el producto
      B2 Symantec Endpoint Protection 14.x
      y haga clic en el evento
      C5 - IPS
      .
    • En las notas de envío, proporcione el número de caso de soporte técnico que se encuentra en el paso anterior, la aplicación que activó la detección de MEM y detalles sobre el número de versión de la aplicación.
      Por ejemplo, es posible que tenga que agregar: "
      "Blocked Attack: Return Oriented Programming API Invocation attack against C:\Program Files\VideoLAN\VLC\vlc.exe"
      , the version for vlc.exe is 2.2.0-git-20131212-0038. Esta no es la versión más reciente disponible, pero es la versión que debe usar nuestra organización.
  17. En el equipo cliente, comprima una copia de la carpeta de envíos que se encuentra en:
    %PROGRAMDATA%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\ccSubSDK
    .
    Envíe esta carpeta a Soporte técnico y notifique el número de seguimiento para el envío de falso positivo que se ha abierto en el paso anterior. El Soporte técnico garantiza que todos los registros y materiales necesarios estén intactos y se asocien con la investigación del falso positivo.