McAfee empresa recomienda implementar contramedidas genéricas contra las amenazas de nivel de entrada. Para obtener más información, consulte:
KB91836-Countermeasures para las amenazas de vector de entrada. De los pasos recomendados indicados en el artículo, se ha mostrado algún éxito con la firma de prevención de exploits de ENS & quot; 2844: Microsoft Word vulnerabilidad de desbordamiento del búfer del módulo WordPerfect5 Converter & quot; contra indicadores IOC admitidos conocidos, aunque esta regla se considera agresiva y podría acarrear falsos positivos. Por lo tanto, debe probar completamente esta recomendación antes de aplicarla a los sistemas de producción.
Los administradores y los analistas pueden utilizar lo siguiente
EDR Real-Time Search para ayudar a identificar el comportamiento potencial de la exploit en los entornos. La consulta identifica los sistemas
WinWord.exe que se ejecutan como procesos en ejecución, donde
MSHTML.dll se cargan actualmente.
HostInfo hostname and LoadedModules where LoadedModules process_name contains "winword" and LoadedModules module_name contains "mshtml"
Se ha creado la siguiente
regla de experto en prevención de exploit de ENS para proporcionar cobertura adicional a esta amenaza. Esta regla se ha actualizado para minimizar los falsos positivos. Sin embargo, deberá probar exhaustivamente la regla antes de aplicarla a los sistemas de producción. Puede establecer la regla sugerida en modo de solo informe para realizar pruebas con el fin de comprobar si provoca algún conflicto en su entorno y monitor para el comportamiento de destino sin bloquearse. Después de determinar que la regla & no bloquea ninguna actividad de aplicaciones legítimas, puede configurar la regla para que bloquee y aplique la configuración a los sistemas pertinentes.
Rule Class: Processes
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
Include OBJECT_NAME { -v "excel.exe" }
Include OBJECT_NAME { -v "powerpnt.exe" }
Include AggregateMatch -xtype "switch1" {
Include DLL_LOADED -name "ieframe" { -v 0x1 }
}
Include AggregateMatch -xtype "switch2" {
Include DLL_LOADED -name "MSHTML" { -v 0x1 }
}
Include AggregateMatch -xtype "switch3" {
Include DLL_LOADED -name "urlmon" { -v 0x1 }
}
Include AggregateMatch -xtype "switch4" {
Include DLL_LOADED -name "wininet" { -v 0x1 }
}
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "control.exe" }
Include -access "CREATE"
}
}
}
El 14 de septiembre de 2021, McAfee Enterprise lanzó un nuevo
conjunto de firmas de seguridad de red ( 10.8.25.1 ) para la plataforma Network Security Platform (NSP) que contiene cobertura para CVE-2021-40444. Para obtener más información, consulte:
KB94886-Register-Network Security Signatures Release Bulletin ( 10.8.25.1 ) .
NOTA: El contenido al que se hace referencia solo está disponible para los usuarios de ServicePortal registrados. Para ver el contenido, haga clic en el vínculo e inicie sesión cuando se le solicite.
Vulnerabilidad de ejecución remota de código debido a HTTP: Microsoft de MSHTML (CVE-2021-40444) (0x45299800): exploit:
Esta alerta indica un intento de exploit una vulnerabilidad de ejecución remota de código en Microsoft Office documento. Esta alerta requiere que esté activada la función de respuesta HTTP. Este ataque ganó &; t se detectaría si la opción de respuesta HTTP está desactivada.
Actualmente se están evaluando oportunidades de cobertura adicionales.
