Le applicazioni software eseguite in ambienti Microsoft Windows possono iniettare codice in un processo che non è il proprio. Sebbene questo comportamento sia simile a quello di malware, è anche un meccanismo integrato per Microsoft Windows. Questo meccanismo consente agli sviluppatori di software di fornire un'esperienza di elaborazione più ricca per l'utente.
McAfee Enterprise ha incontrato numerose applicazioni software con motivi legittimi per caricare le dll nei processi di McAfee Enterprise. Sebbene McAfee Enterprise tenti di bloccare i tentativi di caricamento delle DLL, le limitazioni tecniche consentono a tali iniezioni di avere successo a volte. Viene quindi richiesta una risposta alternativa da McAfee Enterprise, per consentire all'ENS di continuare a funzionare normalmente. Questa situazione ha portato all'utilità
MfeSysPrep.exe. Il
MfeSysPrep.exe è disponibile tramite Assistenza tecnica e può essere utilizzato come strumento di individuazione degli iniettori DLL. Questa utilità è consigliata per ogni ambiente che avverte i sintomi causati dalla presenza di dll di terze parti nei processi McAfee Enterprise. Include inoltre le DLL di terze parti descritte nella
Problema istruzioni riportate di seguito.
Sfondo
McAfee Software Enterprise considera le DLL di terze parti che sono state iniettate nei processi di McAfee Enterprise non affidabili. In altre parole:
- Il codice non è stato scritto.
- Non sappiamo quali sono i loro codici o cosa può fare.
- Non sappiamo se può essere mai compromesso e utilizzato maliziosamente.
Ciò che sappiamo è che qualsiasi lavoro svolto dalle funzioni DLL di quella terza parte sembra provenire dal processo iniettato McAfee Enterprise. Quindi, se si tratta di attività dannose, sembra che il software McAfee Enterprise stia eseguendo operazioni dannose. La possibilità di iniezioni di DLL di terze parti nei processi McAfee Enterprise non è accettabile. Abbiamo adottato misure che utilizzano la tecnologia di protezione dell'accesso (AP), nota anche come controllo arbitrario degli accessi, per proteggersi contro le iniezioni di DLL di terze parti. Abbiamo inoltre implementato un Framework per la convalida e la protezione dell'affidabilità (VTP). Questo framework protegge dagli scenari in cui è possibile che si sia verificata un'iniezione.
Il Framework di protezione di convalida e affidabilità è stato introdotto con VSE 8.7i. La funzionalità di protezione dell'accesso è stata introdotta con VSE 8.0i. La tecnologia sottostante è stata aggiornata in VSE 8.8 Patch 5 (o patch 4 + hotfix 929019). La nuova tecnologia è denominata controllo degli accessi arbitrario (AAC). Altri prodotti McAfee Enterprise hanno fatto transizioni tecnologiche simili per adottare questa tecnologia condivisa, necessaria per proteggere i prodotti da malware e da entità non affidabili.
Come utilizziamo la convalida e la protezione dell'affidabilità:
Il servizio di protezione dell'affidabilità e della convalida McAfee Enterprise,
MFEVTPS.exe, è un servizio critico che esegue ispezioni delle dll e dei processi in esecuzione, inclusi i processi McAfee Enterprise, che interagiscono con McAfee codice Enterprise, per verificare che tali oggetti siano affidabili. Il servizio dipende dal servizio di crittografia Microsoft (CryptSvc), dalle API relative all'affidabilità e dallo stato dell'archivio dei certificati e dai file di catalogo. Se tali dipendenze sono in uno stato errato, il servizio potrebbe non funzionare correttamente.
Per ulteriori informazioni sulla firma dei file, consultare
https://msdn.microsoft.com/en-us/windows/hardware/drivers/install/digital-signatures:
- Un controllo di convalida si verifica quando McAfee codice Enterprise deve assicurarsi che il processo o l'oggetto in azione sia affidabile o entrambi.
- Quando i processi di McAfee Enterprise vengono inizializzati, il servizio VTP viene utilizzato per convalidare il caricamento del codice affidabile. Usiamo AP/AAC per essere certi di caricare solo le dll affidabili.
Come sopra indicato, solo McAfee codice Enterprise e il codice Microsoft sono implicitamente affidabili.
Caching
- The MFEVTPS.exe memorizza nella cache i risultati di un controllo di convalida per migliorare le prestazioni dei controlli di convalida futuri.
- La cache viene sempre esaminata prima quando si esegue un controllo di convalida.
- Se un controllo di convalida ha restituito "non affidabile", tale oggetto viene memorizzato nella cache come non affidabile. Se un oggetto è stato memorizzato nella cache come non affidabile in modo errato, solo un cache reimpostato può correggerlo.
Il cache viene reimpostato solo quando si esegue l'avvio in modalità provvisoria, ma non in modalità provvisoria con la rete o eseguendo il comando
VTPInfo.exe /ResetVTPCache. McAfee Enterprise può anche reimpostare il cache tramite il file DAT, quando necessario. Immediatamente dopo la cache reimpostazione, un utente potrebbe avvertire un breve periodo di rallentamento delle prestazioni.
Errori di affidabilità
Un errore di affidabilità vede un controllo di convalida che risulta "non affidabile" quando il risultato previsto era "affidabile".
Esempi
- Una terza parte ha iniettato un processo di McAfee Enterprise. Non si considera affidabile la terza parte, pertanto il processo non riesce a eseguire un controllo di convalida.
- Un file con firma di Microsoft catalogo contiene informazioni di firma non valide. Pertanto, non è possibile verificarlo e un processo di McAfee Enterprise non riesce a caricarlo.
- Un file DLL valido è stato memorizzato nella cache come "non affidabile" in modo errato e i tentativi successivi di caricarlo sono stati negati.
Tutti questi esempi possono causare il mancato funzionamento del processo McAfee Enterprise, ad esempio il caricamento non corretto o l'esecuzione corretta dei relativi compiti previsti. Questi errori si verificano a causa del proprio meccanismo di sicurezza (AAC), negando l'accesso a codice non affidabile.
Come utilizziamo la protezione dell'accesso o il controllo degli accessi arbitrario:
Il controllo degli accessi arbitrario ha sostituito la protezione dell'accesso. Questa tecnologia opera dal kernel Windows. Può bloccare l'accesso agli oggetti, ad esempio gli oggetti di rete, di file, di registro e di processo. La funzionalità dispone di un set di regole per determinare cosa bloccare e cosa consentire. Le regole descrivono comportamenti "pericolosi" o "non sicuri" che devono essere bloccati o negati. Molte delle regole sono sotto il vostro controllo, esposte nelle policy dell'interfaccia utente o di ePolicy Orchestrator (ePO). Alcune regole che non sono ancora esposte sono ancora attive, consideriamo queste regole fondamentali per lo stato operativo del prodotto. Le regole che esponiamo per te possono essere:
- Attivata o disattivata.
- Impostare su segnala solo.
- Modificato per aggiungere altri processi da proteggere o proteggere da, o da escludere in modo da non bloccare più un determinato processo da violare la regola.
- È possibile creare le proprie regole di blocco dei comportamenti, rendendo questa funzionalità uno degli strumenti più potenti a disposizione per proteggere l'ambiente.
Per riepilogare il funzionamento di AAC, viene visualizzata un'operazione che sta tentando di eseguire, viene eseguita una procedura e viene richiesto quanto segue:
- Qual è il nome del processo?
- Quale oggetto è l'accesso al processo?
- Qual è il processo che tenta di eseguire l'oggetto?
- L'operazione è consentita, sì o no?
Una risposta di "No" significa che la blocchiamo. Se il "rapporto" è attivato, lo registriamo e inviamo un evento al server ePO. Una risposta di "Sì" indica che l'azione è consentita.
Le nostre regole private includono più criteri, ad esempio:
- Chi ha scritto questo codice? L'acquisizione di queste informazioni comporta la ricerca della firma digitale.
- Ci fidiamo del certificato digitale di quel fornitore? Per impostazione predefinita, si considera affidabile solo McAfee Enterprise e Microsoft.
I criteri aggiunti offrono maggiore sicurezza. Al contrario, come spiegato sopra, se un controllo di convalida non riesce o restituisce un risultato "non affidabile", le nostre protezioni potrebbero bloccare l'accesso agli oggetti da parte di McAfee processi aziendali. Come indicato nella
Sfondo dichiarazione sopra riportata, tale risultato è previsto.