Consolidamento dei client Windows contro gli attacchi di manomissione della memoria con una politica di Mitigazione degli exploit della memoria

In che modo Mitigazione degli exploit della memoria protegge le applicazioni?
A partire dalla versione 14,
Symantec Endpoint Protection
include Mitigazione degli exploit della memoria, che sfrutta diverse tecniche di mitigazione per arrestare gli attacchi a una vulnerabilità del software. Ad esempio, quando l'utente del client esegue un'applicazione come Internet Explorer, un exploit potrebbe invece avviare un'applicazione diversa contenente codice nocivo.
Per arrestare un exploit, Mitigazione degli exploit della memoria inietta una DLL nell'applicazione protetta. Dopo aver rilevato un tentativo di exploit, Mitigazione degli exploit della memoria blocca l'exploit o chiude l'applicazione minacciata dall'exploit.
Symantec Endpoint Protection
visualizza una notifica relativa al rilevamento nel computer client e registra l'evento nel registro protezione del client.
Ad esempio, l'utente del client potrebbe vedere la seguente notifica:
Symantec Endpoint Protection: Attack: Structured Exception Handler Overwrite detected. Symantec Endpoint Protection will terminate (Symantec Endpoint Protection: Attacco: sovrascrittura del gestore eccezioni strutturata rilevata. Symantec Endpoint Protection verrà terminato)
<application name>
applicazione
Mitigazione degli exploit della memoria continua a bloccare l'exploit o chiudere l'applicazione fino a quando il computer client esegue una versione del software in cui la vulnerabilità è stata corretta.
In 14 MPx, Mitigazione degli exploit della memoria si chiamava Attenuazione exploit generici.
Tipi di protezione dagli exploit
Mitigazione degli exploit della memoria utilizza diversi tipi di tecniche di mitigazione per gestire l'exploit, a seconda delle tecniche più appropriate per il tipo di applicazione. Ad esempio, entrambe le tecniche StackPvt e RopHeap bloccano gli exploit che attaccano Internet Explorer.
Se la funzionalità Microsoft App-V è stata attivata nei computer, Mitigazione degli exploit della memoria non protegge i processi di Microsoft Office protetti da App-V.
Requisiti di Mitigazione degli exploit della memoria
Mitigazione degli exploit della memoria è disponibile solo se è stata installata la prevenzione delle intrusioni. Mitigazione degli exploit della memoria ha un proprio set di firme separate che viene scaricato assieme alle definizioni di prevenzione delle intrusioni. Tuttavia, è possibile attivare o disattivare la prevenzione delle intrusioni e Mitigazione degli exploit della memoria indipendentemente.
A partire dalla versione 14.0.1, Mitigazione degli exploit della memoria ha la propria politica. Nelle versioni 14 MPx, fa parte della politica di prevenzione delle intrusioni; disattivando la politica di prevenzione delle intrusioni nella scheda
Panoramica
, si disattiva Mitigazione degli exploit della memoria.
Inoltre, è necessario eseguire LiveUpdate almeno una volta affinché l'elenco di applicazioni appaia nella politica Mitigazione degli exploit della memoria. Per impostazione predefinita, la protezione è attivata per tutte le applicazioni visualizzate nella politica.
Correzione e prevenzione dei falsi positivi
Può capitare che Mitigazione degli exploit della memoria chiuda involontariamente un'applicazione nel computer client. Se si determina che il comportamento di un'applicazione è legittimo e non è causato da un exploit, il rilevamento è un falso positivo. Per i falsi positivi, è necessario disattivare la protezione fino a quando Symantec Security Response modifica il comportamento di Mitigazione degli exploit della memoria.
La tabella seguente mostra la procedura per gestire i rilevamenti dei falsi positivi.
Procedura per trovare e riparare un falso positivo
Attività
Passaggio 1: individuare quali applicazioni si chiudono inaspettatamente nei computer client.
È possibile trovare quali applicazioni sono state chiuse nel computer client nei seguenti modi:
  • Un utente del computer client invia una notifica sulla mancata esecuzione di un'applicazione.
  • Aprire il registro di Mitigazione degli exploit della memoria o il report che elenca le tecniche di mitigazione che hanno chiuso le applicazioni nel computer client.
A volte le tecniche di mitigazione non generano registri a causa della natura dell'exploit.
Passaggio 2: disattivare la protezione e verificare le tecniche che chiudono l'applicazione.
Disattivare prima la protezione al livello più basso, affinché altri processi restino protetti. Non disattivare la mitigazione degli exploit della memoria per consentire l'esecuzione dell'applicazione fino a quando non si saranno provati tutti gli altri metodi.
Dopo aver eseguito ciascuna delle attività secondarie riportate di seguito, andare al passaggio 3.
  1. Per prima cosa, verificare la protezione dell'applicazione specifica chiusa dalla tecnica di mitigazione.
    Ad esempio, se Mozilla Firefox è stato chiuso, disattivare la tecnica SEHOP o HeapSpray. Può capitare che una tecnica di mitigazione non crei eventi di registro a causa della natura dell'exploit, e quindi non si può sapere quale tecnica di mitigazione abbia chiuso l'applicazione. In questo caso, è necessario disattivare ciascuna tecnica che protegge l'applicazione, una alla volta, fino a quando si trova quella che ha causato la chiusura.
  2. Controllare la protezione di tutte le applicazioni protette da una singola tecnica di mitigazione.
  3. Verificare la protezione di tutte le applicazioni, a prescindere dalla tecnica. Questa opzione è simile alla disattivazione di Mitigazione degli exploit della memoria, eccetto per il fatto che il server di gestione raccoglie gli eventi di registro per i rilevamenti. Utilizzare questa opzione per controllare l'esistenza di falsi positivi nei client 14 MPx precedenti.
Passaggio 3: aggiornare la politica nel computer client ed eseguire nuovamente l'applicazione.
  • Se l'applicazione viene eseguita correttamente, il rilevamento è un falso positivo per quella tecnica di mitigazione.
  • Se l'applicazione non viene eseguita come previsto, il rilevamento è un vero positivo.
  • Se l'applicazione si chiude ancora, verificare a un livello più restrittivo. Ad esempio, verificare un'altra tecnica di mitigazione o tutte le applicazioni protette dalla tecnica.
Passaggio 4: segnalare i falsi positivi e riattivare la protezione per i veri positivi.
Per i rilevamenti di falsi positivi:
  1. Inviare una notifica al team Symantec sul falso positivo rilevato. Consultare la sezione Suggerimento per gli addetti ai lavori Symantec per garantire invii corretti
  2. Lasciare disattivata la protezione per l'applicazione chiusa impostando l'azione di ciascuna tecnica su
    No
    .
  3. Dopo la risoluzione del problema tramite Security Response, riattivare la protezione impostando l'azione della tecnica su
    .
Per i rilevamenti di veri positivi:
  1. Riattivare la protezione reimpostando l'azione della regola per quella tecnica di mitigazione su
    .
  2. Controllare se una versione con patch o più recente dell'applicazione infetta corregge la vulnerabilità corrente. Dopo aver installato l'applicazione con patch, rieseguirla sul computer client per verificare se la mitigazione degli exploit della memoria termina ancora l'applicazione.
Individuazione di registri e report per gli eventi di Mitigazione degli exploit della memoria
Per trovare le applicazioni chiuse da Mitigazione degli exploit della memoria è necessario visualizzare i registri ed eseguire report rapidi.
  1. Nella console, effettuare una delle seguenti azioni:
    • Per i registri, fare clic su
      Controlli
      >
      Registri
      > tipo di registro
      Attenuazione exploit host e rete
      > contenuto di registro
      Mitigazione degli exploit della memoria
      >
      Visualizza registro
      .
      Cercare il tipo di evento
      Evento bloccato dalla mitigazione degli exploit della memoria
      . La colonna
      Tipo di evento
      riporta la tecnica di mitigazione e la colonna
      Azione
      indica se l'applicazione nella colonna
      Nome applicazione
      è stata bloccata. Ad esempio, il seguente evento di registro indica un attacco Stack Pivot:
      Attack: Return Oriented Programming Changes Stack Pointer (Attacco: restituite modifiche al puntatore dello stack orientate alla programmazione)
    • Per i report rapidi, fare clic su
      Report
      >
      Report rapidi
      > tipo di report
      Attenuazione exploit host e rete
      > report
      Rilevamenti di mitigazione degli exploit della memoria
      >
      Crea report
      .
      Cercare i rilevamenti bloccati di Mitigazione degli exploit della memoria.
  2. Controllo della protezione di un'applicazione terminata
    Quando si eseguono test per identificare i falsi positivi, modificare il comportamento di Mitigazione degli exploit della memoria affinché verifichi un rilevamento ma consenta comunque l'esecuzione dell'applicazione. Tuttavia, Mitigazione degli exploit della memoria non protegge l'applicazione.
    Per verificare la protezione per un'applicazione chiusa
  3. Nella console, fare clic su
    Politiche
    >
    Mitigazione degli exploit della memoria
    >
    Mitigazione degli exploit della memoria
    .
  4. Nella scheda
    Tecniche di mitigazione
    , accanto a
    Scegliere una tecnica di mitigazione
    , selezionare la tecnica che ha chiuso l'applicazione, ad esempio
    StackPvt
    .
  5. Nella colonna
    Protetto
    , selezionare l'applicazione chiusa e modificare
    Predefinito (Sì)
    in
    Solo registrazione
    .
    Modificare l'azione in
    No
    dopo aver verificato che il rilevamento è davvero un falso positivo. Entrambe le opzioni
    Solo registrazione
    e
    No
    consentono un possibile exploit, ma anche l'esecuzione dell'applicazione.
    Alcune applicazioni hanno più tecniche di mitigazione che bloccano l'exploit, quindi è necessario seguire questo passaggio per ogni singola tecnica.
  6. (Opzionale) Effettuare uno dei passaggi seguenti, quindi fare clic su
    OK
    :
    • Se non si è certi di quale tecnica abbia chiuso l'applicazione, fare clic su
      Scegliere un’azione di protezione per tutte le applicazioni per questa tecnica
      . Questa opzione sovrascrive le impostazioni per ciascuna tecnica.
    • Se si dispone sia di client 14.0.1 sia di client 14 MPx precedenti e si desidera testare solo i client 14.0.1, fare clic su
      Impostare l’azione di protezione per tutte le tecniche sulla sola registrazione
      .
  7. (Opzionale) Per verificare l'applicazione indipendentemente dalla tecnica, nella colonna
    Protetto
    della scheda
    Regole applicazioni
    , deselezionare l'applicazione terminata e fare clic su
    OK
    .
    Per i client 14 MPx precedenti, è possibile utilizzare solo questa opzione. Dopo l'upgrade dei client alla versione 14.0.1, riattivare la protezione ed effettuare un'ottimizzazione più precisa. Aprire il registro
    Stato computer
    per sapere quali versioni del prodotto sono eseguite in ciascun client.
  8. Nella console, fare clic su
    Politiche
    >
    Mitigazione degli exploit della memoria
    .
  9. Deselezionare
    Attiva mitigazione degli exploit della memoria
    .
  10. Fare clic su
    OK
    .
  11. In
    Symantec Endpoint Protection Manager
    , assicurarsi che Symantec Insight sia abilitata. Insight è abilitata per impostazione predefinita.
  12. Scaricare ed eseguire lo strumento SymDiag sul computer client. Consultare la sezione Download di SymDiag per il rilevamento dei problemi relativi al prodotto
  13. Nella pagina
    Home Page
    dello strumento SymDiag, fare clic su
    Raccogli dati per il supporto tecnico
    e per l’opzione
    Registrazione di debug
    >
    Avanzate
    impostare il
    Debug WPP
    >
    Livello tracciamento
    su
    Dettagliato
    .
  14. Riprodurre il rilevamento del falso positivo.
  15. Al termine della raccolta del registro, inviare il file
    .sdbz
    a aprendo un nuovo caso oppure aggiornando un caso esistente con queste nuove informazioni.
  16. Inviare l'applicazione rilevata al sito SymSubmited eseguire le attività seguenti:
    • Selezionare il momento in cui si è verificato il rilevamento, scegliere il prodotto
      B2 Symantec Endpoint Protection 14.
      x, quindi fare clic sull'evento
      C5 - IPS
      .
    • Nelle note di invio, fornire il numero di caso per il Supporto tecnico del passaggio precedente, l'applicazione che ha attivato il rilevamento MEM e dettagli sul numero di versione dell'applicazione.
      Ad esempio, è possibile aggiungere: "
      Blocked Attack: Return Oriented Programming API Invocation attack against C:\Program Files\VideoLAN\VLC\vlc.exe"
      (Attacco bloccato: restituito attacco di chiamata API orientato alla programmazione su C:\Programmi\VideoLAN\VLC\vlc.exe), in cui la versione di vlc.exe è 2.2.0-git-20131212-0038. Non è l'ultima versione disponibile, ma è quella che deve essere utilizzata dall'organizzazione."
  17. Sul computer client, comprimere una copia della cartella degli invii disponibile in:
    %PROGRAMDATA%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\ccSubSDK
    .
    Inviare la cartella al Supporto tecnico e comunicare il numero di registrazione del caso relativo al falso positivo aperto nel passaggio precedente. Il supporto tecnico verifica che tutti i registri e i materiali necessari siano integri e associati all'indagine sul falso positivo.