Les injecteurs de fichiers DLL tiers, les détourages de code et l’accrochage

Articles techniques ID: KB88085
Date de la dernière modification : 23/09/2021

Environnement

McAfee Endpoint Security (ENS) Prévention contre les menaces 10.x
McAfee VirusScan Enterprise (VSE) 8.x
McAfee Agent (MA) 5.x

Synthèse

Les applications logicielles qui s’exécutent dans des environnements Microsoft Windows peuvent injecter du code dans un processus qui n’est pas son propre. Bien que ce comportement soit similaire à celui d’un logiciel malveillant (Malware), il constitue également un mécanisme intégré pour Microsoft Windows. Ce mécanisme permet aux développeurs de logiciels de fournir une expérience informatique plus riche pour l’utilisateur.

McAfee entreprise a rencontré de nombreuses applications logicielles ayant des raisons légitimes de charger des dll dans les processus de McAfee entreprise. Bien que McAfee entreprise tente de bloquer ces tentatives de chargement de DLL, les limitations techniques permettent à ces injection de réussir parfois. Une autre réponse est alors nécessaire à McAfee entreprise pour permettre à ENS de continuer à fonctionner normalement. Cette situation entraînait l’utilitaire MfeSysPrep.exe. Cette MfeSysPrep.exe est disponible via Support technique et peut être utilisé en tant qu’outil de découverte d’injecteur de DLL. Cet utilitaire est recommandé pour tout environnement qui rencontre des symptômes dus à la présence de dll tierces dans McAfee processus de l’entreprise. Il inclut également les dll tierces décrites dans la section Rencontré instructions ci-dessous.

Générales
McAfee logiciels d’entreprise considèrent les dll tierces qui ont été injectées dans des processus d’entreprise McAfee non approuvés. En d’autres termes :

Nous n’avons pas écrit leur code.
Nous ne savons pas ce que leur code fait ou ce qu’il peut faire.
Nous ne savons pas si elle peut être compromise et utilisée à des fins malveillantes.

Nous savons que tous les travaux effectués à partir des fonctions de DLL de ce tiers semblent provenir du processus d’entreprise McAfee injecté. Par conséquent, s’il s’agit d’une activité malveillante, il semble que le logiciel McAfee Enterprise effectue des opérations malveillantes. L’autorisation d’injections de DLL tierces dans McAfee processus d’entreprise n’est pas acceptable. Nous avons pris des mesures à l’aide de notre technologie de protection de l’accès (AP), également connue sous le nom de contrôle d’accès arbitraire, pour la sécurisation contre les injections de DLL tierces. Nous avons également implémenté une structure de validation et de protection de l’approbation (VTP). Cette structure est sécurisée contre les scénarios où une injection peut se produire.

La version validation and Trust protection Framework a été introduite avec VSE 8.7i. La fonctionnalité de protection de l’accès a été introduite avec VSE 8.0i. La technologie sous-jacente a été mise à jour dans VSE 8.8 Patch 5 (ou Patch 4 + HotFix 929019). La nouvelle technologie est appelée contrôle d’accès arbitraire (AAC). D’autres produits McAfee Enterprise ont apporté des transitions technologiques similaires pour adopter cette technologie partagée, nécessaires à la sécurisation des produits contre les logiciels malveillants et les entités non approuvées.

Utilisation de la validation et de la protection de l’approbation :
Le service de validation et de protection de l’approbation de l’entreprise McAfee, MFEVTPS.exe, est un service essentiel qui effectue des inspections des dll et des processus en cours d’exécution, y compris McAfee les processus d’entreprise, qui interagissent avec McAfee code d’entreprise afin de vérifier que ces objets sont approuvés. Le service dépend du service de chiffrement Microsoft (CryptSvc), des API liées à la confiance, ainsi que de l’intégrité du magasin de certificats et des fichiers de catalogue. Si ces dépendances sont en mauvais état, notre service risque de ne pas fonctionner correctement.

Pour en savoir plus sur la signature des fichiers, reportez-vous à la section https://msdn.microsoft.com/en-us/windows/hardware/drivers/install/digital-signatures:

Une vérification de la validation se produit lorsque McAfee code d’entreprise doit s’assurer que le processus ou l’objet en action est approuvé, ou les deux.
Lors de l’initialisation de McAfee processus d’entreprise, le service VTP est utilisé pour valider le chargement de code approuvé. Nous utilisons AP/AAC afin de garantir que nous chargeons uniquement les dll approuvées.

Comme indiqué ci-dessus, seuls les McAfee code d’entreprise et code Microsoft sont implicitement approuvés.

Partagé

The MFEVTPS.exe met en cache les résultats d’une vérification de la validation afin d’améliorer les performances des futures vérifications de validation.
Le cache est toujours examiné en premier lieu lors de l’exécution d’une vérification de validation.
Si une vérification de la validation renvoie un « non approuvé », cet objet est mis en cache comme non approuvé. Si un objet n’a pas été mis en cache de manière incorrecte, seule une cache réinitialisée peut le corriger.

La cache est réinitialisée uniquement lors du démarrage en mode sans incident, mais pas en mode sans-accès avec le réseau, ou en exécutant la commande VTPInfo.exe /ResetVTPCache. McAfee Enterprise peut également réinitialiser le cache via le fichier DAT, le cas échéant. Immédiatement après la réinitialisation cache, un utilisateur peut constater un court délai de ralentissement des performances.

Echecs d’approbation
Une défaillance de l’approbation voit une vérification de la validation qui génère un « non approuvé » lorsque le résultat attendu était « approuvé ».

On

Un tiers a injecté un processus d’entreprise McAfee. Nous n’approuvons pas le tiers. par conséquent, le processus échoue à une vérification de la validation.
Un fichier signé du catalogue Microsoft contient des informations de signature non valides. Par conséquent, il ne peut pas être vérifié et un processus d’entreprise McAfee ne parvient pas à le charger.
Un fichier DLL valide a été mis en cache de manière incorrecte et les tentatives suivantes de chargement sont refusées.

Tous ces exemples peuvent provoquer l’échec du processus d’entreprise McAfee concerné, par exemple le non-chargement correct ou l’absence des tâches attendues correctement. Ces échecs sont dus à notre propre mécanisme de sécurité (AAC) et refusent l’accès à du code non approuvé.

Utilisation de la protection de l’accès ou du contrôle d’accès arbitraire :
Le contrôle d’accès arbitraire a remplacé la protection d’accès. Cette technologie fonctionne à partir du noyau Windows. Il peut bloquer l’accès aux objets, tels que les objets réseau, fichier, registre et processus. La fonctionnalité comporte un ensemble de règles permettant de déterminer les éléments à bloquer et les éléments à autoriser. Les règles décrivent les comportements « incorrects » ou « non sûrs » qui doivent être bloqués ou refusés. La plupart des règles sont sous votre contrôle, exposées dans l’interface utilisateur ou dans les stratégies ePolicy Orchestrator (ePO). Certaines règles qui ne sont pas encore exposées sont toujours en vigueur. nous considérons que ces règles sont essentielles à l’intégrité opérationnelle du produit. Les règles que nous exposez pour vous pouvez être :

Activé ou désactivé.
Définir sur rapport uniquement.
Modification pour ajouter d’autres processus à protéger ou protéger contre, ou pour les exclure de sorte que nous ne bloquons plus un certain processus de la violation de la règle.
Vous pouvez créer vos propres règles de blocage de comportement, ce qui permet de sécuriser votre environnement en fonction de l’un des outils les plus puissants à votre disposition.

Pour récapituler la manière dont fonctionne AAC, il voit une opération qui tente d’être exécutée, la procédure décrite dans, et demande ce qui suit :

Quel est le nom du processus ?
Quel objet est l’accès au processus ?
Quel est le processus qui tente d’effectuer cette opération sur cet objet ?
Cette opération est-elle autorisée, oui ou non ?

La réponse « non » signifie que nous la bloquons. Si le rapport est activé, il est recommandé de le consigner et d’envoyer un événement au serveur ePO. La réponse "Oui" signifie que l’action est autorisée.

Nos règles privées comportent davantage de critères, tels que :

Qui a écrit ce code ? Pour obtenir ces informations, vous devez examiner la signature numérique.
Approuvez-vous le certificat numérique de ce fournisseur ? Nous approuvons uniquement McAfee entreprise et Microsoft par défaut.

Les critères ajoutés fournissent davantage de sécurité. A l’inverse, comme expliqué ci-dessus, si une vérification de la validation échoue ou génère un résultat « non approuvé », nos propres protections peuvent bloquer McAfee processus d’entreprise d’accéder aux objets. Comme indiqué dans la Générales l’instruction ci-dessus, ce résultat est attendu.

Problème 1

Un processus tiers ne peut pas accéder à McAfee des fichiers ou des processus protégés par l’entreprise. Le processus tiers reçoit un code d’erreur 5, ce qui signifie ACCESS_DENIED. Ce comportement est normal et n’est pas un problème avec le logiciel McAfee Enterprise.
Un processus tiers qui charge des dll d’entreprise McAfee ne peut pas accéder à d’autres processus, fichiers ou dossiers de l’entreprise McAfee. Par exemple, Microsoft Outlook, qui charge les dll de raccordement en mode utilisateur de prévention contre les exploits ENS, est bloquée lors d’une tentative d’accès à d’autres processus McAfee Enterprise.

Problème 2

Un processus d’entreprise McAfee ne démarre pas correctement. Par exemple, vous ne pouvez pas démarrer la console ENS malgré les journaux d’installation indiquant la réussite.
Un processus d’entreprise McAfee est en cours d’exécution, mais uniquement partiellement opérationnel. Par exemple, ENS se charge correctement, mais indique que d’autres services ne s’exécutent pas correctement, alors que le service applicable est en cours d’exécution.
L’installation d’un produit McAfee Enterprise échoue et tente de revenir en arrière, ce qui peut également échouer, ce qui laisse les restes d’une tentative d’installation en échec.
Un processus d’entreprise McAfee ne peut pas accéder à d’autres fichiers ou dossiers appartenant à un autre produit McAfee Enterprise. Par exemple, McScript_InUse.exe qui appartient au McAfee Agent, ne peut pas accéder aux dossiers ENS.

Cause

A un niveau élevé, la cause est la suivante :

Les processus chargent des dll, qui contiennent du code qui est exécuté. Toutes ces tâches sont effectuées par le processus à l’aide de threads. Une DLL tierce est une DLL qui n’est pas construite via un fournisseur, ce qui, dans ce cas, est McAfee entreprise ou Microsoft. Lorsqu’un processus d’entreprise McAfee charge une DLL tierce, ce processus a été "injecté" par cette DLL tierce, ce qui signifie qu’il contient désormais des fonctions tierces et peut exécuter le code de ce tiers. Le résultat est que le processus d’entreprise McAfee peut désormais effectuer des opérations qu’il n’était jamais prévu de faire. Il n’est pas non plus conscient de ce que ces actions sont possibles, car elles ne sont pas McAfee code d’entreprise. Toutefois, le code tiers est actif et réside dans le processus de l’entreprise McAfee.

Veuillez De nombreux fournisseurs de application tiers écrivent des logiciels légitimes qui appliquent une injection de DLL afin de faciliter leur fonction de produit. Il existe de nombreux exemples, mais ces noms sont de fournisseurs dont les applications sont fréquemment rencontrées dans l’espace d’entreprise : Citrix, Avecto, Lumension, outre l’approbation et NVIDIA.

Solution 1

ENS possède un processus nommé MFECanary.exe qui s’exécute en tant que processus enfant pour MFEEsp.exeet capture les détails des certificats numériques pour toutes les DLL qui tentent de s’y injecter. Les informations sont envoyées à ePO via un événement agent, qui est traité sur le serveur ePO. Elle est ensuite renseignée dans la stratégie Endpoint Security Partagés.

Si vous constatez que les certificats sont renseignés dans la stratégie de Partagés Endpoint Security, cela indique que des logiciels tiers non approuvés existent dans l’environnement. Ce logiciel est oeuvre tentative de chargement des dll dans McAfee processus de l’entreprise. En cas de succès, leur présence dans McAfee processus de l’entreprise mène à la Rencontré instructions décrites ci-dessus.

Dans la stratégie Endpoint Security Partagés, une case à cocher permet à l’administrateur de contrôler si les systèmes clients approuvent ou ne font pas confiance au certificat tiers. La même stratégie vous permet d’ajouter manuellement des certificats à approuver, à l’aide du certificat exporté (.cer) de la DLL d’injection.

Pour les systèmes dotés de VSE, il n’existe pas de méthode automatisée permettant d’approuver une DLL d’injection. Mais, à partir de la version de VSE 8.8 Patch 9, la stratégie de protection de l’accès pour VSE contient des exclusions globales pour l’onglet protection automatique. Dans cet onglet, vous pouvez exclure McAfee processus d’entreprise qui sont concernés par une injection de DLL tierce. Pour disposer d’un plus grand contrôle sur les applications qui injectent dans McAfee processus de l’entreprise, les clients sont invités à migrer vers ENS.

Solution 2

Assistance Support technique :
Support technique peut également aider à identifier le tiers et à approuver ultérieurement le certificat numérique tiers des dll tierces signées injectant dans McAfee processus de l’entreprise. Cette prise en charge nécessite l’ouverture d’une demande de service. Pour accélérer le traitement, les étapes nécessaires à la réalisation de ces tâches sont fournies dans cet article.

Table des matières
Cliquez pour développer la section que vous souhaitez afficher :

Option 1-identification de la méthode la plus simple pour la tierce partie

Un utilitaire est disponible à partir de Support technique nommé MfeSysPrep.exe. Vous pouvez exécuter MfeSysPrep.exe autonome sur n’importe quel système cible pour la découverte d’injecteur de DLL, distribuée via des outils tiers ou déployé via ePO. L’outil écrit un fichier journal localement et envoie des événements ePO pour identifier les dll non approuvées qui pourraient avoir un impact sur les fonctions ENS.

Pour chaque injecteur identifié et son certificat numérique correspondant, si McAfee entreprise estime que ce certificat est digne de confiance, l’outil met automatiquement à jour ENS pour approuver le certificat. Si l’outil ne Découvre aucune dll non approuvée en attente, aucune autre action n’est nécessaire. Consultez la section Informations connexes de cet article pour les implications liées à l’approbation d’un certificat tiers.

Pour chaque non approuvé et signé DLL qui a été identifiée, les informations de certificat sont capturées dans le journal et fournies à ePO dans un événement. L’ID d’événement est 1092 ou 1095. Pour chaque non approuvé et non signé DLL qui a été identifiée, un hachage SHA-1 et SHA-2 est enregistré pour cette DLL dans le journal et fourni à ePO dans un événement. De nouveau, l’ID d’événement est 1092 ou 1095.

L’ID d’événement 1092 indique qu’un injecteur a été détecté et qu’il n’a pas pu l’approuver.
L’ID d’événement 1095 indique qu’un injecteur a été détecté et que nous l’avez approuvé automatiquement.

Option 2-identification de la méthode matérielle tiers

Cette identification est peut-être l’entreprise la plus difficile pour l’ensemble du processus. La raison en est que la méthode utilisée pour collecter ces informations dépend du fait que vous rencontriez des symptômes qui affectent le comportement du produit. Reportez-vous aux sections ci-dessous pour collecter des données en l’absence de "symptômes indésirables" et en cas de "symptômes indésirables".

Aucun symptôme indésirable :
1. Utilisée Explorer de processus, disponible à partir de Microsoft.
2. Exécutez l’outil en tant qu’administrateur.
3. Sélectionnez le processus d’entreprise McAfee qui contient la DLL tierce partie.
4. Utilisez l’affichage des fichiers DLL ou appuyez sur CTRL + D, puis identifiez la DLL tierce, en notant son emplacement sur le disque. S’il existe plusieurs emplacements, notez-les tous.
5. Utilisée Windows Explorer permet de localiser cette DLL sur le disque et d’accéder à sa Sous.
6. Déterminer Obtention du fichier. cer ci-dessous.
Symptômes indésirables :
- Lorsque les symptômes défavorables se produisent au cours d’une session Windows, il existe deux points de données à collecter. Ces points de données doivent idéalement être collectés en parallèle, c’est-à-dire exécuter les deux outils en même temps et capturer le problème une fois.
  1. Collecter les données du moniteur de processus :
    1. Utilisée Moniteur de processus, disponible à partir de Microsoft.
    2. Exécutez l’outil en tant qu’administrateur.
    3. Démarrez le processus de l’entreprise McAfee qui se comporte de manière inattendue.
    4. Après avoir reproduit le comportement anormal, enregistrez la Procmon capture.
      
      FAUT Enregistrez tous les événements et utilisez le format PML natif.
    5. Fournissez ces informations à Support technique pour vous aider à identifier la DLL tierce chargée via le processus d’entreprise McAfee.
  2. Recueille AMTrace Datacenter
    1. Exécute AMTrace.exe a partir d’une invite de commande administrateur, vous avez la possibilité de démarrer immédiatement. Pour obtenir des instructions, consultez : KB86691-étapes de collecte de données minimum pour les problèmes Endpoint Security.
    2. Démarrez le processus de l’entreprise McAfee qui se comporte de manière inattendue.
    3. Après avoir reproduit le comportement anormal, exécutez AMTrace une fois encore, vous pouvez désormais choisir d’arrêter.
    4. Fournissez le journal créé à Support technique. ce qui est utilisé pour vous aider à identifier la DLL non approuvée.
- Lorsque les symptômes défavorables se produisent uniquement à Windows démarrage/démarrage, il existe deux points de données à collecter, qui peuvent être collectés en série ou en parallèle :
  1. Collecter les données du moniteur de processus :
    1. Utilisée Moniteur de processus, disponible à partir de Microsoft.
    2. Exécutez l’outil en tant qu’administrateur.
    3. Dans le menu options, cliquez sur Activer. Journalisation de démarrage.
    4. Réinitialisez le VTP cache *.
    5. Redémarrez le système.
    6. Connexion et exécution Moniteur de processus exécuter.
    7. Enregistrer la Procmon capture de journalisation de démarrage.
      
      FAUT Enregistrez tous les événements et utilisez le format PML natif.
    8. Fournissez ces informations à Support technique pour vous aider à identifier la DLL tierce chargée via le processus d’entreprise McAfee.
  2. Recueille AMTrace Datacenter.
    1. Exécute AMTrace.exe a partir d’une invite de commande administrateur, vous avez la possibilité de démarrer au démarrage. Pour obtenir des instructions, consultez : KB86691-étapes de collecte de données minimum pour les problèmes Endpoint Security.
    2. Réinitialisez le VTP cache *.
    3. Redémarrez le système.
    4. Après avoir reproduit le comportement anormal, exécutez AMTrace une fois encore, vous pouvez désormais choisir d’arrêter.
    5. Fournissez le journal créé à Support technique. Le fichier journal aide à identifier la DLL non approuvée.

* Pour réinitialiser le cache VTP :

A partir d’une invite de commande administrateur, accédez à \Program Files\Common Files\McAfee\SystemCore.
Exécutez la commande VTPInfo.exe utilitaire avec le paramètre /resetvtpcache:

VTPInfo.exe /ResetVTPCache

Obtenir le .cer pièces
Cette procédure est nécessaire uniquement si vous avez effectué l’option 2 pour identifier les dll tierces non approuvées. Obtention de la .cer le fichier n’est pas nécessaire si vous avez utilisé l’option 1.

Pour accéder aux propriétés du fichier EXE ou DLL, cliquez avec le bouton droit de la même façon et sélectionnez Sous.
Cliquez sur l' Certificats numériques onglet.

Veuillez Si cet onglet est manquant, cela indique que le fichier n’est pas signé numériquement et qu’il n’existe aucune option pour que nous approuvions le code de ce fournisseur. Vous devez contacter ce fournisseur et lui demander de fournir un code signé.

Sélectionnez un certificat dans la liste des signatures à laquelle vous souhaitez faire confiance.
Activez Ample.
Activez Afficher le certificat.
Cliquez sur l' Ample onglet.
Activez Copier dans un fichier.
Dans l’Assistant exportation de certificat, cliquez sur Flèche.
Activez Flèche à nouveau pour accepter la création d’une .cer pièces.
Spécifiez un nom de fichier et un emplacement. Par exemple, C:\Temp\My3rdParty.cer.
Activez Flèche et Terminer.

Approbation d’un certificat numérique de tiers

Si vous avez utilisé l’option 1 ci-dessus et qu’aucune autre DLL non approuvée n’a été trouvée, aucune autre action n’est nécessaire.

Obtenir non approuvé et signé Dll, nous pensons que le certificat numérique de cette DLL s’affiche dans la stratégie Endpoint Security Partagés. Dans ce cas, consultez Solution 1.
Utilisez la stratégie options de Partagés Endpoint Security pour approuver manuellement le certificat si

Le certificat n’a pas été affiché dans cette stratégie.
Ou
Vous souhaitez déplacer le processus en suivant une méthode plus prévisible, une fois que vous avez obtenu le (.cer) pièces.

FAUT Avant de le faire, consultez la section Informations connexes de cet article pour les implications liées à l’approbation d’un certificat tiers.

Obtenir non approuvé et non signé Dll, nous pensons que le fournisseur de ce logiciel vous fournit un code signé numériquement, car il s’agit d’une norme industrielle pour l’identification des logiciels lancés. Dans les cas où les fournisseurs ne peuvent pas ou ne sont pas conformes, Support technique peut vous aider. Vous devez fournir toutes les dll non signées qui MfeSysPrep.exe identifiés en tant qu’injecteurs et MfeSysPrep journal qui affiche l’injection. A l’aide de ces informations, McAfee entreprise envisagera d’ajouter la DLL non signée dans MfeSysPrep pour résoudre ces problèmes en cas d’échec d’installations ENS en raison de la présence de l’application tiers. Elle n’inclut pas les applications telles que les logiciels antivirus qui remplissent la même fonction que ENS.

FAUT Avant de pouvoir ajouter une approbation à une DLL tierce, vous devez envoyer la DLL à McAfee Labs en tant qu’échantillon pour confirmer qu’elle n’est pas malveillante. Pour obtenir des instructions, consultez : KB85567-soumettre les faux positifs potentiels du produit ou de GTI à McAfee Labs. Incluez les informations suivantes lorsque vous soumettez de tels exemples de DLL :

Fabricant du logiciel
Fichier exécutable ou processus parent
Cette application est-elle disponible à l’interne ou publiquement ?
Brève description de la fonction et de l’objectif du logiciel, y compris la DLL soumise

Informations connexes

Implications en matière de sécurité de l’approbation d’un certificat numérique tiers :

Les implications en matière de sécurité que vous acceptez en approuvant un certificat tiers sont les suivantes :

Vous acceptez que tout code signé par le certificat tiers sera approuvé pour interagir avec McAfee processus, fichiers, registre et tous les autres objets protégés par l’entreprise McAfee.
Vous acceptez que l’activité de fichier générée par les processus signés à l’aide du certificat tiers ne soit pas analysée.
Vous comprenez que les distributions de produits ou de code provenant du même fournisseur, en cas d’utilisation du même certificat numérique, héritent automatiquement des mêmes allocations.
Vous comprenez qu’un produit ou un code est publié par le même fournisseur, à l’aide d’un certificat numérique différent, qui doit également être approuvé pour obtenir les mêmes résultats.

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Produits affectés

Configuration
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
McAfee Agent 5.7.x
McAfee Agent 5.6.x
VirusScan Enterprise 8.8 (EOL)

Langues :

Cet article est disponible dans les langues suivantes :

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

Les injecteurs de fichiers DLL tiers, les détourages de code et l’accrochage

Environnement

Synthèse

Problème 1

Problème 2

Cause

Solution 1

Solution 2

Informations connexes

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Title

Title

Knowledge Center

Les injecteurs de fichiers DLL tiers, les détourages de code et l’accrochage

Environnement

Synthèse

Problème 1

Problème 2

Cause

Solution 1

Solution 2

Informations connexes

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Choisissez votre région

Title

Title