Las aplicaciones de software que se ejecutan en Microsoft Windows entornos pueden inyectar código en un proceso que no es propio. Aunque este comportamiento es similar al de malware, también es un mecanismo integrado para Microsoft Windows. Este mecanismo permite a los desarrolladores de software proporcionar una experiencia informática más rica para el usuario.
McAfee Enterprise ha encontrado numerosas aplicaciones de software con razones legítimas para cargar dll en McAfee procesos empresariales. Aunque McAfee Enterprise intenta bloquear esos intentos de carga de DLL, las limitaciones técnicas permiten que las inyecciones se realicen con éxito a veces. A continuación, se necesita una respuesta alternativa de McAfee Enterprise para que ENS pueda seguir funcionando con normalidad. Esta situación condujo a la utilidad
MfeSysPrep.exe. Lo
MfeSysPrep.exe está disponible a través de Soporte técnico y se puede utilizar como herramienta de descubrimiento de inyectores de DLL. Esta utilidad se recomienda para cualquier entorno que experimente síntomas causados por la presencia de dll de terceros en McAfee procesos empresariales. También incluye las dll de terceros descritas en la
Solucionar instrucciones a continuación.
Experiencia
McAfee software empresarial considera las dll de terceros que han sido insertadas en McAfee procesos empresariales que no son de confianza. En otras palabras:
- No hemos escrito su código.
- No sabemos lo que hace su código o lo que puede hacer.
- No sabemos si nunca se ha puesto en riesgo y se utiliza de forma maliciosa.
Lo que sabemos es que cualquier trabajo realizado en las funciones DLL de ese tercero parece proceder del proceso de inserción de McAfee Enterprise. Por lo tanto, si se trata de una actividad maliciosa, parece que el software de McAfee Enterprise realiza operaciones maliciosas. Permitir la inserción de DLL de terceros en McAfee procesos empresariales no es aceptable. Hemos tomado medidas mediante nuestra tecnología de protección de acceso (AP), también conocida como control de acceso arbitrario, para proteger frente a las inyecciones de DLL de terceros. También hemos implementado una estructura de validación y protección de confianza (VTP). Este marco de trabajo protege frente a los escenarios en los que podría haberse producido una inyección.
El marco de la validación y la protección de confianza se introdujo con VSE 8.7tengo. La función protección de acceso se introdujo con VSE 8.0tengo. La tecnología subyacente se ha actualizado en VSE 8.8 Parche 5 (o parche 4 + Hotfix 929019). La nueva tecnología se llama control de acceso arbitrario (AAC). Otros productos McAfee Enterprise han realizado transiciones tecnológicas similares para adoptar esta tecnología compartida, necesaria para proteger los productos contra entidades malware y no fiables.
Cómo usamos la protección de confianza y la validación:
El McAfee servicio de protección de confianza y validación empresarial
MFEVTPS.exe, es un servicio crítico que realiza inspecciones de archivos dll y procesos en ejecución, incluidos McAfee procesos empresariales, que interactúan con McAfee código de empresa, para verificar que dichos objetos son de confianza. El servicio depende del Microsoft servicio criptográfico (CryptSvc), de las API relacionadas con la confianza y del estado del almacén de certificados y de los archivos de catálogo. Si esas dependencias se encuentran en mal estado, es posible que nuestro servicio no funcione correctamente.
Para obtener más información sobre la firma de archivos, consulte
https://msdn.microsoft.com/en-us/windows/hardware/drivers/install/digital-signatures:
- Se realiza una comprobación de validación cuando McAfee código de empresa necesita asegurarse de que el proceso o el objeto activo son de confianza, o ambos.
- Al inicializar McAfee procesos empresariales, el servicio VTP se utiliza para validar que estamos cargando código de confianza. Usamos AP/AAC para asegurarse de cargar solo las dll de confianza.
Tal y como se ha indicado anteriormente, solo McAfee código de empresa y el código de Microsoft son de confianza de forma implícita.
AppFabric
- The MFEVTPS.exe almacena en caché los resultados de una comprobación de validación para mejorar el rendimiento de futuras comprobaciones de validación.
- La caché siempre se examina en primer lugar al realizar una comprobación de validación.
- Si una comprobación de validación devuelve "no de confianza", el objeto se almacena en caché como no de confianza. Si un objeto se ha almacenado en caché incorrectamente como no de confianza, solo se podrá corregir el restablecimiento de la caché.
La caché solo se restablece cuando se arranca en modo seguro, pero no en modo seguro con funciones de red o mediante la ejecución del comando
VTPInfo.exe /ResetVTPCache. McAfee empresa también puede restablecer la caché a través del archivo DAT cuando sea necesario. Inmediatamente después del restablecimiento de la caché, es posible que un usuario experimente un breve periodo de rendimiento lento.
Errores de confianza
Un error de confianza ve una comprobación de validación que provoca el "no confianza" cuando el resultado esperado era "de confianza".
Acerca
- Una tercera parte ha insertado un proceso McAfee Enterprise. No confiamos en la tercera parte, por lo que el proceso falla una comprobación de validación.
- Un archivo firmado del catálogo de Microsoft tiene información de firma no válida. Por lo tanto, no se puede verificar y un proceso de McAfee empresarial no lo carga.
- Un archivo DLL válido se ha almacenado en caché incorrectamente como "no de confianza" y se han denegado los intentos subsiguientes de cargarlo.
Todos estos ejemplos pueden provocar que el proceso de McAfee Enterprise afectado falle, como no cargar adecuadamente o no realizar sus tareas previstas adecuadamente. Estos errores se producen debido a nuestro propio mecanismo de seguridad (AAC), denegando el acceso a código no fiable.
Cómo usamos la protección de acceso o el control de acceso arbitrario:
El control de acceso arbitrario ha sustituido a la protección de acceso. Esta tecnología opera de la kernel Windows. Puede bloquear el acceso a los objetos, tales como la red, el archivo, el registro y los objetos de proceso. La función cuenta con un conjunto de reglas para determinar lo que se debe bloquear y lo que se debe permitir. Las reglas describen comportamientos "defectuosos" o "inseguros" que deben bloquearse o denegarse. Muchas de las reglas están bajo su control, expuestas en la interfaz de usuario o en las directivas de ePolicy Orchestrator (ePO). Algunas reglas que aún no se exponen siguen en vigor, consideramos que las reglas son críticas para el estado operativo del producto. Las reglas que exponemos para usted pueden ser:
- Activado o desactivado.
- Se establece en solo informar.
- Se ha modificado para agregar otros procesos con los que proteger o proteger, o para excluir, de modo que ya no se impide que un proceso determinado infrinja la regla.
- Puede crear sus propias reglas de bloqueo de comportamiento, de forma que esta función una de las herramientas más potentes a su disposición para proteger su entorno.
Para resumir el funcionamiento de AAC, verá una operación que se está intentando llevar a cabo, pasos en y pregunta lo siguiente:
- ¿Cuál es el nombre del proceso?
- ¿Qué objeto está accediendo al proceso?
- ¿Qué proceso está intentando hacer con ese objeto?
- ¿Se permite esta operación, sí o no?
Una respuesta de "no" significa que lo bloqueamos. Si "informe" está activado, lo registramos y enviamos un evento al servidor de ePO. La respuesta "sí" significa que la acción está permitida.
Nuestras reglas privadas incluyen más criterios, como:
- ¿Quién escribió este código? La obtención de esta información implica la observación de la firma digital.
- ¿Confiamos en el certificado digital de ese proveedor? De forma predeterminada, solo confiamos en McAfee Enterprise y Microsoft.
Los criterios agregados proporcionan más seguridad. Por el contrario, como se ha explicado anteriormente, si una comprobación de validación falla o produce un resultado "no fiable", nuestras propias protecciones podrían bloquear el acceso de los objetos de McAfee Enterprise. Como se indica en la
Experiencia afirmación anterior, se espera el resultado.