Les applications logicielles qui s’exécutent dans des environnements Microsoft Windows peuvent injecter du code dans un processus qui n’est pas son propre. Bien que ce comportement soit similaire à celui d’un logiciel malveillant (Malware), il constitue également un mécanisme intégré pour Microsoft Windows. Ce mécanisme permet aux développeurs de logiciels de fournir une expérience informatique plus riche pour l’utilisateur.
McAfee entreprise a rencontré de nombreuses applications logicielles ayant des raisons légitimes de charger des dll dans les processus de McAfee entreprise. Bien que McAfee entreprise tente de bloquer ces tentatives de chargement de DLL, les limitations techniques permettent à ces injection de réussir parfois. Une autre réponse est alors nécessaire à McAfee entreprise pour permettre à ENS de continuer à fonctionner normalement. Cette situation entraînait l’utilitaire
MfeSysPrep.exe. Cette
MfeSysPrep.exe est disponible via Support technique et peut être utilisé en tant qu’outil de découverte d’injecteur de DLL. Cet utilitaire est recommandé pour tout environnement qui rencontre des symptômes dus à la présence de dll tierces dans McAfee processus de l’entreprise. Il inclut également les dll tierces décrites dans la section
Rencontré instructions ci-dessous.
Générales
McAfee logiciels d’entreprise considèrent les dll tierces qui ont été injectées dans des processus d’entreprise McAfee non approuvés. En d’autres termes :
- Nous n’avons pas écrit leur code.
- Nous ne savons pas ce que leur code fait ou ce qu’il peut faire.
- Nous ne savons pas si elle peut être compromise et utilisée à des fins malveillantes.
Nous savons que tous les travaux effectués à partir des fonctions de DLL de ce tiers semblent provenir du processus d’entreprise McAfee injecté. Par conséquent, s’il s’agit d’une activité malveillante, il semble que le logiciel McAfee Enterprise effectue des opérations malveillantes. L’autorisation d’injections de DLL tierces dans McAfee processus d’entreprise n’est pas acceptable. Nous avons pris des mesures à l’aide de notre technologie de protection de l’accès (AP), également connue sous le nom de contrôle d’accès arbitraire, pour la sécurisation contre les injections de DLL tierces. Nous avons également implémenté une structure de validation et de protection de l’approbation (VTP). Cette structure est sécurisée contre les scénarios où une injection peut se produire.
La version validation and Trust protection Framework a été introduite avec VSE 8.7i. La fonctionnalité de protection de l’accès a été introduite avec VSE 8.0i. La technologie sous-jacente a été mise à jour dans VSE 8.8 Patch 5 (ou Patch 4 + HotFix 929019). La nouvelle technologie est appelée contrôle d’accès arbitraire (AAC). D’autres produits McAfee Enterprise ont apporté des transitions technologiques similaires pour adopter cette technologie partagée, nécessaires à la sécurisation des produits contre les logiciels malveillants et les entités non approuvées.
Utilisation de la validation et de la protection de l’approbation :
Le service de validation et de protection de l’approbation de l’entreprise McAfee,
MFEVTPS.exe, est un service essentiel qui effectue des inspections des dll et des processus en cours d’exécution, y compris McAfee les processus d’entreprise, qui interagissent avec McAfee code d’entreprise afin de vérifier que ces objets sont approuvés. Le service dépend du service de chiffrement Microsoft (CryptSvc), des API liées à la confiance, ainsi que de l’intégrité du magasin de certificats et des fichiers de catalogue. Si ces dépendances sont en mauvais état, notre service risque de ne pas fonctionner correctement.
Pour en savoir plus sur la signature des fichiers, reportez-vous à la section
https://msdn.microsoft.com/en-us/windows/hardware/drivers/install/digital-signatures:
- Une vérification de la validation se produit lorsque McAfee code d’entreprise doit s’assurer que le processus ou l’objet en action est approuvé, ou les deux.
- Lors de l’initialisation de McAfee processus d’entreprise, le service VTP est utilisé pour valider le chargement de code approuvé. Nous utilisons AP/AAC afin de garantir que nous chargeons uniquement les dll approuvées.
Comme indiqué ci-dessus, seuls les McAfee code d’entreprise et code Microsoft sont implicitement approuvés.
Partagé
- The MFEVTPS.exe met en cache les résultats d’une vérification de la validation afin d’améliorer les performances des futures vérifications de validation.
- Le cache est toujours examiné en premier lieu lors de l’exécution d’une vérification de validation.
- Si une vérification de la validation renvoie un « non approuvé », cet objet est mis en cache comme non approuvé. Si un objet n’a pas été mis en cache de manière incorrecte, seule une cache réinitialisée peut le corriger.
La cache est réinitialisée uniquement lors du démarrage en mode sans incident, mais pas en mode sans-accès avec le réseau, ou en exécutant la commande
VTPInfo.exe /ResetVTPCache. McAfee Enterprise peut également réinitialiser le cache via le fichier DAT, le cas échéant. Immédiatement après la réinitialisation cache, un utilisateur peut constater un court délai de ralentissement des performances.
Echecs d’approbation
Une défaillance de l’approbation voit une vérification de la validation qui génère un « non approuvé » lorsque le résultat attendu était « approuvé ».
On
- Un tiers a injecté un processus d’entreprise McAfee. Nous n’approuvons pas le tiers. par conséquent, le processus échoue à une vérification de la validation.
- Un fichier signé du catalogue Microsoft contient des informations de signature non valides. Par conséquent, il ne peut pas être vérifié et un processus d’entreprise McAfee ne parvient pas à le charger.
- Un fichier DLL valide a été mis en cache de manière incorrecte et les tentatives suivantes de chargement sont refusées.
Tous ces exemples peuvent provoquer l’échec du processus d’entreprise McAfee concerné, par exemple le non-chargement correct ou l’absence des tâches attendues correctement. Ces échecs sont dus à notre propre mécanisme de sécurité (AAC) et refusent l’accès à du code non approuvé.
Utilisation de la protection de l’accès ou du contrôle d’accès arbitraire :
Le contrôle d’accès arbitraire a remplacé la protection d’accès. Cette technologie fonctionne à partir du noyau Windows. Il peut bloquer l’accès aux objets, tels que les objets réseau, fichier, registre et processus. La fonctionnalité comporte un ensemble de règles permettant de déterminer les éléments à bloquer et les éléments à autoriser. Les règles décrivent les comportements « incorrects » ou « non sûrs » qui doivent être bloqués ou refusés. La plupart des règles sont sous votre contrôle, exposées dans l’interface utilisateur ou dans les stratégies ePolicy Orchestrator (ePO). Certaines règles qui ne sont pas encore exposées sont toujours en vigueur. nous considérons que ces règles sont essentielles à l’intégrité opérationnelle du produit. Les règles que nous exposez pour vous pouvez être :
- Activé ou désactivé.
- Définir sur rapport uniquement.
- Modification pour ajouter d’autres processus à protéger ou protéger contre, ou pour les exclure de sorte que nous ne bloquons plus un certain processus de la violation de la règle.
- Vous pouvez créer vos propres règles de blocage de comportement, ce qui permet de sécuriser votre environnement en fonction de l’un des outils les plus puissants à votre disposition.
Pour récapituler la manière dont fonctionne AAC, il voit une opération qui tente d’être exécutée, la procédure décrite dans, et demande ce qui suit :
- Quel est le nom du processus ?
- Quel objet est l’accès au processus ?
- Quel est le processus qui tente d’effectuer cette opération sur cet objet ?
- Cette opération est-elle autorisée, oui ou non ?
La réponse « non » signifie que nous la bloquons. Si le rapport est activé, il est recommandé de le consigner et d’envoyer un événement au serveur ePO. La réponse "Oui" signifie que l’action est autorisée.
Nos règles privées comportent davantage de critères, tels que :
- Qui a écrit ce code ? Pour obtenir ces informations, vous devez examiner la signature numérique.
- Approuvez-vous le certificat numérique de ce fournisseur ? Nous approuvons uniquement McAfee entreprise et Microsoft par défaut.
Les critères ajoutés fournissent davantage de sécurité. A l’inverse, comme expliqué ci-dessus, si une vérification de la validation échoue ou génère un résultat « non approuvé », nos propres protections peuvent bloquer McAfee processus d’entreprise d’accéder aux objets. Comme indiqué dans la
Générales l’instruction ci-dessus, ce résultat est attendu.