McAfee Enterprise recommande de mettre en œuvre des contre-mesures génériques contre les menaces d’entrée de gamme. Pour plus d’informations, voir :
KB91836-contre-mesures pour les menaces de vecteurs d’entrée. Parmi les étapes recommandées décrites dans l’article, certaines réussites ont été signalées avec ens Exploit Prevention signature "2844 : Microsoft Word vulnérabilité de type débordement de mémoire tampon du module WordPerfect5 Converter" par rapport aux IOC connus, même si cette règle est considérée comme agressive et peut entraîner des faux positifs. Vous devez donc tester complètement cette recommandation avant de l’appliquer aux systèmes de production.
Les administrateurs et les analystes peuvent utiliser les éléments suivants
EDR Real-Time Search pour faciliter l’identification des comportements potentiels des exploit dans les environnements. La requête identifie les systèmes avec le processus en cours d'
WinWord.exe exécution, où
MSHTML.dll est actuellement chargé.
HostInfo hostname and LoadedModules where LoadedModules process_name contains "winword" and LoadedModules module_name contains "mshtml"
La
règle d’expert prévention contre les exploits ens suivante a été créée pour fournir une couverture supplémentaire à cette menace. Cette règle a été mise à jour pour réduire les faux positifs. Toutefois, vous devez tout de même tester soigneusement la règle avant de l’appliquer aux systèmes de production. Vous pouvez définir la règle suggérée en mode rapport uniquement à des fins de test pour vérifier si elle est à l’origine d’un conflit dans votre environnement et pour surveiller le comportement cible sans bloquer. Une fois que vous avez déterminé que la règle ne bloque aucune activité provenant d’applications légitimes, vous pouvez définir la règle de manière à bloquer et à appliquer le paramètre aux systèmes concernés.
Rule Class: Processes
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
Include OBJECT_NAME { -v "excel.exe" }
Include OBJECT_NAME { -v "powerpnt.exe" }
Include AggregateMatch -xtype "switch1" {
Include DLL_LOADED -name "ieframe" { -v 0x1 }
}
Include AggregateMatch -xtype "switch2" {
Include DLL_LOADED -name "MSHTML" { -v 0x1 }
}
Include AggregateMatch -xtype "switch3" {
Include DLL_LOADED -name "urlmon" { -v 0x1 }
}
Include AggregateMatch -xtype "switch4" {
Include DLL_LOADED -name "wininet" { -v 0x1 }
}
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "control.exe" }
Include -access "CREATE"
}
}
}
Le 14 septembre 2021, McAfee entreprise a publié un nouveau
Network security signature Set ( 10.8.25.1 ) pour Network Security Platform Platform (NSP) contenant la couverture pour CVE-2021-40444. Pour plus d’informations, reportez-vous à l’article :
KB94886-Registered-Network Security signature sets Release Bulletin ( 10.8.25.1 ).
Remarque : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
Vulnérabilité de type exécution de code à distance dans HIGH-HTTP : Microsoft MSHTML (CVE-2021-40444) (0x45299800) : exploit :
Cette alerte indique une tentative de exploit une vulnérabilité de type exécution de code à distance dans Microsoft Office Document. Cette alerte nécessite que la fonctionnalité de réponse HTTP soit activée. Cette attaque ne sera pas détectée si l’option réponse HTTP est désactivée.
D’autres opportunités de couverture sont actuellement en cours d’évaluation.
