Protection des clients Windows contre les falsifications en mémoire à l'aide d'une politique de Prévention contre les exploits en mémoire

Comment la Prévention contre les exploits en mémoire protège-t-elle les applications ?
À partir de la version 14,
Symantec Endpoint Protection
inclut une Prévention contre les exploits en mémoire qui utilise plusieurs techniques de prévention pour arrêter les attaques sur la vulnérabilité d'un logiciel. Par exemple, lorsque l'utilisateur client exécute une application omme Internet Explorer, un exploit pourrait plutôt lancer une application différente qui contient un code malveillant.
Pour arrêter un exploit, la Prévention contre les exploits en mémoire injecte un DLL dans une application protégée. Après que la Prévention contre les exploits en mémoire ait détecté la tentative d'exploit, soit elle bloque l'exploit ou termine l'application que cet exploit menace.
Symantec Endpoint Protection
affiche une notification à l'utilisateur sur l'ordinateur client sur à propos de la détection et enregistre l'événement dans le journal de sécurité du client.
Par exemple, l'utilisateur client pourrait voir la notification ci-dessous :
Symantec Endpoint Protection: attaque: exception structurée, remplacement de gestionnaire détecté. Symantec Endpoint Protection va arrêter l'application
<nom_application>
application
La prévention contre les exploits en mémoire continue de bloquer l'exploit ou arrête l'application jusqu'à ce que l'ordinateur client exécute une version du logiciel dans laquelle la vulnérabilité est éliminée.
Dans la version 14 MPx, la prévention contre les exploits en mémoire était appelée prévention contre les exploits génériques.
Types de protection contre les exploits
La Prévention contre les exploits en mémoire utilise plusieurs techniques pour gérer l'exploit, selon celle qui est la plus appropriée pour le type d'application. Par exemple, les techniques StackPvt et RopHeap bloquent les exploits qui attaquent Internet Explorer.
Si vous avez activé la fonction Microsoft App-V sur vos ordinateurs, la prévention contre les exploits en mémoire ne protège pas les processus Microsoft Office protégés par App-V.
Exigences relatives à la Prévention contre les exploits en mémoire
La prévention contre les exploits en mémoire est disponible uniquement si vous avez installé la prévention d'intrusion. Elle dispose de son propre ensemble de signatures distinctes téléchargé avec les définitions de la prévention d'intrusion. Toutefois, vous pouvez activer ou désactiver la prévention d'intrusion et la Prévention contre les exploits en méoire indépendamment.
À partir de 14.0.1, la Prévention contre les exploits en mémoire a sa propre politique. Dans les versions 14 Mpx, elle fait partie intégrante de la politique de prévention d'intrusion ; si vous désactivez la politique de prévention d'intrusion dans l'onglet
Présentation
, vous désactivez également la prévention contre les exploits en mémoire.
Vous devez exécuter LiveUpdate au moins une fois pour que la liste d'applications apparaisse dans la politique de la Prévention contre les exploits en mémoire. Par défaut, la protection activée pour toutes les applications qui apparaissent dans la politique.
Correction et prévention des faux positifs
Occasionnellement, la Prévention contre les exploits en mémoire involontairement terminer une application sur l'ordinateur client. Si vous estimez qu'un comportement d'une application est légitime et qu'elle n'était pas victime d'un exploit, la détection est un faux positif. Pour les faux positifs, vous devez désactiver la protection jusqu'à ce que Symantec Security Response change le comportement de la Prévention contre les exploits en mémoire.
Le tableau suivant présente la procédure de traitement des détections de faux positifs.
Étapes de recherche et d'élimination d'un faux positif
Tâches
Étape 1 : déterminez quelles applications s'arrêtent de façon subite sur les ordinateurs client.
Vous pouvez identifier les applications qui se sont arrêtées sur l'ordinateur client en procédant comme suit :
  • Un utilisateur sur le client vous avertit qu’une application ne s’exécute pas.
  • Ouvrez le journal ou le rapport de Prévention contre les exploits en mémoire qui répertorie la technique de prévention qui a arrêté les applications sur l'ordinateur client.
Parfois, les techniques de prévention ne produisent pas de journaux en raison de la nature de l'exploit.
Étape 2 : désactivez la protection et contrôlez les techniques qui arrêtent l'application.
Désactivez la protection en premier au niveau minimal pour que les autres processus restent protégés. Ne désativez pas la Prévention contre les exploits en mémoire pour permettre à l'application de s'exécuter jusqu'à ce que ayez essayé toutes les autres méthodes.
Après chacune des sous-tâches suivantes, allez à l'étape 3.
  1. Premièrement, contrôlez la protection pour l'application spécifique que la technique de prévention a arrêtée.
    Par exemple, si Mozilla Firefox a été arrêté, vous allez désactiver soit la technique SEHOP ou la technique HeapSpray. Parfois, une technique de prévention ne crée pas un journal d'événements compte tenu de la nature de l'exploit, par conséquent, vous pouvez avoir des doutes sur la technique de prévention qui a été à l'origine de l'arrêt de l'application. Dans ce cas, vous devez désactiver chaque technique qui protège l'application, l'une après l'autre, jusqu'à ce que vous trouviez celle qui a provoqué l'arrêt.
  2. Contrôlez la protection pour toutes les autres applications qu'une seule technique de prévention protège.
  3. Contrôlez la protection pour toutes les applications, indépendamment de la technique. Cette option est semblable à la désactivation de la Prévention contre les exploits en mémoire, sauf que le serveur de gestion récupère les événements du journal pour les détections. Utilisez cette option pour vérifier les faux positifs sur les clients 14 MPx hérités.
Étape 3 : mettez la politique à jour sur l'ordinateur client et réexécutez l'application.
  • Si l'application s'exécute correctement, la détection pour cette technique de prévention est un faux positif.
  • Si l'application ne s'exécute pas correctement, la détection est un vrai positif.
  • Si l'application s'arrête malgré tout, contrôlez à un niveau restrictif. Par exemple, contrôlez une technique de prévention différente pour toutes les applications que la technique protège.
Étape 4 : rapportez les faux positifs et réactivez la protection pour les vrais positifs.
Détections des faux positifs :
  1. Informez l'équipe Symantec qu'il s'agissait d'un faux positif. Reportez-vous à l'article Symantec Insider Tip: Successful Submissions! (Conseil d'un employé Symantec : réussir ses envois).
  2. Laissez la protection désactivée pour l'application arrêtée en configurant chaque action de la technique sur
    Non
    .
  3. Une fois que Security Response a résolu le problème, réactivez la protection en changeant l'action de la technique sur
    Oui
    .
Pour la détections des vrais positifs :
  1. Réactivez la protection en changeant l'action de la règle pour cette technique de prévention en configurant à nouveau sur
    Oui
    .
  2. Vérifiez s'il y a une version corrigée ou une nouvelle version de l'application infectée qui résout la vulnérabilité actuelle. Après que vous ayez installé l'application corrective, réexécutez-la sur l'ordinateur client pour voir si la Prévention contre les exploits en mémoire termine toujours l'application.
Recherche des journaux et des rapports pour les événements de la Prévention contre les exploits en mémoire
Vous devez visualiser les journaux et exécuter des rapports rapides pour retrouver les applications que la Prévention contre les exploits en mémoire a arrêtées.
  1. Dans la console, effectuez l'une des actions suivantes :
    • Pour les journaux, cliquez sur
      Moniteurs
      >
      Journaux
      >
      Prévention contre les exploits hôte et réseau
      Type de journal >
      Prévention contre les exploits en mémoire
      Contenu du journal >
      Afficher le journal
      .
      Rechercher le type
      Evénement de prévention contre les exploits en mémoire
      . La colonne
      Type d’événement
      répertorie la technique de prévention et la colonne
      Action
      spécifie si l'application dans la colonne
      Nom de l'application
      était bloquée. Par exemple, le journal d'événement suivant indique une pile d'attaques pivots :
      Attaque : Retour pointeur pile de changements de programmation orientés
    • Pour les rapports rapides, cliquez sur
      Rapports
      >
      Rapports rapides
      > type de rapports
      Prévention contre les exploits réseau et hôte
      > rapport
      Détections de la prévention contre les exploits en mémoire
      >
      Créer un rapport
      .
      Rerchercher les détections bloquées de la prévention contre les exploits en mémoire.
  2. Contrôle de la protection pour une application arrêtée
    Quand vous faites des tests pour les faux positifs, changez le comportement de la Prévention contre les exploits en mémoire pour qu'elle puisse auditer une détection tout en permettant à l'application de s'exécuter. Toutefois, la Prévention contre les exploits en mémoire ne protège pas l'application.
    Contrôle de la protection pour une application arrêtée
  3. Dans la console, cliquez sur
    Politiques
    >
    Prévention contre les exploits en mémoire
    >
    Prévention contre les exploits en mémoire
    .
  4. Dans l'onglet
    Techniques de prévention
    , près de
    Sélectionner une technique de prévention
    , sélectionnez la technique qui a arrêté l'application, par exemple
    StackPvt
    .
  5. Sous la colonne
    Protégée
    , sélectionnez l'application arrêtée, puis remplacez
    Par défaut (Oui)
    par
    Consigner uniquement
    .
    Changez l'action en
    Non
    après que vous ayez vérifié que la détection est un faux positif. Les options
    Journal uniquement
    et
    Non
    autorisent l'exploit potentiel, mais aussi l'application de s'exécuter.
    Certaines applications ont de nombreuses techniques de prévention qui bloquent l'exploit, donc suivez cette étape pour chaque technique individuellement.
  6. (Facultatif) Effectuez l’une des opérations suivantes, puis cliquez sur
    OK
    :
    • Si vous avez des doutes sur la technique qui arrêté l'application, cliquez sur
      Choisir une action de protection pour toutes les applications de cette technique
      . Cette option remplace les paramètres pour chaque technique.
    • Si vous avez un mélange de clients 14.0.1 et clients legacy 14 MPx et vi vous voulez tester les clients 14.0.1, cliquez sur
      Définir l’action de protection pour toutes les techniques sur Journal uniquement
      .
  7. (Facultatif) Pour tester l'application indépendamment de la technique, dans l'onglet
    Règles d'application
    , dans la colonne
    Protégé
    , désélectionnez l'application arrêtée, puis cliquez sur
    OK
    .
    Pour les clients legacy 14 MPx, vous pouvez seulement utiliser cette option. Après la mise à niveau vers la les clients de la version 14.0.1, réactivez la protection procédez à un réglage de précision. Ouvrez le journal
    État de l'ordinateur
    pour déterminer quels clients exécutent quelle version du produit.
  8. Dans la console, cliquez sur
    Politiques
    >
    Prévention contre les exploits en mémoire
    .
  9. Désélectionnez
    Activer la prévention contre les exploits en mémoire
    .
  10. Cliquez sur
    OK
    .
  11. Dans
     instance de Symantec Endpoint Protection Manager
    , assurez-vous que Symantec Insight est activé. Insight est activé par défaut.
  12. Téléchargez et exécutez l'outil SymDiag sur l'ordinateur client. Reportez-vous à l'article Download SymDiag to detect product issues (Téléchargement de SymDiag pour détecter les problèmes de produit).
  13. Sur la
    page d'accueil
    de l'outil SymDiag, cliquez sur
    Collecter des données pour le support
    et pour l'option
    Consignation de débogage
    >
    Avancé
    , définissez l'option
    Débogage WPP
    >
    Niveau de suivi
    sur
    Détaillé
    .
    Advanced debug log options in SymDiag for Endpoint Protection clients (Options avancées du journal de débogage dans SymDiag pour les clients Endpoint Protection)
  14. Reproduisez la détection de faux positif.
  15. A l'issue de la collecte des journaux, envoyez le fichier
    .sdbz
    à en ouvrant un nouveau dossier ou en mettant à jour un dossier existant avec ces nouvelles informations.
  16. Envoyez l'application détectée au site SymSubmitet effectuez les tâches suivantes :
    • Choisissez l'heure ou la date de la détection, choisissez le produit
      B2 Symantec Endpoint Protection 14.x
      , puis cliquez sur l'événement
      C5 - IPS
      .
    • Dans les notes d'envoi, fournissez le numéro de dossier du support technique de l'étape précédente, l'application qui a déclenché la détection MEM et les informations sur le numéro de version de l'application.
      Par exemple, vous pouvez ajouter "
      Blocked Attack: Return Oriented Programming API Invocation attack against C:\Program Files\VideoLAN\VLC\vlc.exe"
      , la version de vlc.exe est 2.2.0-git-20131212-0038. Ce n'est pas la version la plus récente mais c'est la version que notre organisation doit utiliser.
  17. Sur l'ordinateur client, compressez une copie du dossier d'envois qui se trouve à l'emplacement suivant :
    %PROGRAMDATA%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\ccSubSDK
    .
    Envoyez ce dossier au support technique en indiquant le numéro de suivi correspondant à l'envoi de faux positif que vous avez ouvert à l'étape précédente. Le support technique s'assure que tous les journaux et documents nécessaires sont intacts et associés à la recherche de faux positif.