Compatibiliteitsprobleem met hookingtoepassingen van derden wanneer SYSCore 15.3 is geïnstalleerd
Laatst gewijzigd: 2021-11-30 19:40:02 Etc/GMT
ontkenning
Betrokken producten
Talen:
Dit artikel is beschikbaar in de volgende talen:
Download the Magic Quadrant report, which evaluates the 19 vendors based on ability to execute and completeness of vision.
As per Gartner, "XDR is an emerging technology that can offer improved threat prevention, detection and response."
Our report on the rise of cyberattacks in the fourth quarter and Ukraine in the start of the new year.
Analysis from the Trellix Advanced Threat Research (ATR) team of wipers deployed in Ukraine leading to likely connection between Whispergate, and HermeticWiper.
Trellix CEO, Bryan Palma, explains the critical need for security that’s always learning.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Compatibiliteitsprobleem met hookingtoepassingen van derden wanneer SYSCore 15.3 is geïnstalleerd
Technische artikelen ID:
KB83123
Laatst gewijzigd: 2021-11-30 19:40:02 Etc/GMT OmgevingMcAfee Agent (MA) 5.0 (gebruikt SYSCore 15.3)
McAfee Endpoint Security (ENS) 10.0 (gebruikt SYSCore 15.3) McAfee VirusScan Enterprise (VSE) 8.8 Patch 4 Hotfix 929019 (gebruikt SYSCore 15.3)
OPMERKING: VSE 8.8 Patch 4 Hotfix 929019 is vereist voor integratie met Threat Intelligence Exchange (TIE) 1.0. Hookingtoepassingen van derden zijn onder andere*: Avecto Privilege Guard
*Deze lijst wordt bijgewerkt wanneer er andere hookingtoepassingen van derden bekend zijn.
SamenvattingMcAfee-producten beschikken over zelfbeschermingsmechanismen om te voorkomen dat er wordt geknoeid met bestanden, mappen, processen, registervermeldingen en uitvoerbare bestanden van McAfee. Zelfbeschermingsmechanismen zijn nodig om een hoog beveiligingsniveau en vertrouwen in de software te bieden en te behouden en vooral als bescherming tegen malwareaanvallen.
Sommige toepassingen van derden kunnen McAfee-processen (proberen te) hooken door hun eigen code (een DLL-bestand) te laden in een McAfee-proces. Toepassingen van derden kunnen gebruikmaken van hookingtechnieken om extra functionaliteit toe te voegen voor de gebruiker of de beheerder, maar er is geen legitieme geldige reden voor het hooken van beschermde services van McAfee op systeemniveau. Hoewel dit gedrag veel lijkt op een malwareaanval, gedraagt de toepassing van derden zich zoals de leverancier van de toepassing verwacht en voegt deze functionaliteit toe waarvoor de toepassing is bedoeld. Leveranciers van dergelijke toepassingen erkennen dat ze niet alle processen hoeven te hooken en veel leveranciers bieden een compatibiliteitsinstelling waarmee u kunt zorgen dat hun code niet wordt geïnjecteerd in specifieke processen.
Er ontstaat een probleem wanneer niet-vertrouwde code van derden bepaalde beveiligde McAfee-services probeert te injecteren of te hooken tijdens het opstarten of tijdens de initialisatie van die McAfee-services. Hierdoor kan een deadlocksituatie in het systeem ontstaan die handmatig moet worden opgelost.
ProbleemHet volgende probleem kan optreden wanneer een niet-vertrouwde toepassing van derden bepaalde beveiligde McAfee-services probeert te injecteren of te hooken:
SysteemwijzigingEen of meer van de volgende toepassingen zijn geïnstalleerd:
Oplossing 1Vertrouw het digitale certificaat van het product van derden. Zie Oplossing 1, stap 2 "Het probleem met een toepassing van derden (hook) oplossen" in KB74176 voor informatie en de risico's bij het uitvoeren van deze actie.
Oplossing 2Product van derden: Avecto Privilege Guard
Er zijn drie opties voor dit product:
Optie 1: voeg binaire bestanden van McAfee toe aan de lijst met uitsluitingen voor injectie door Avecto Privilege Guard door het register op het eindpunt te wijzigen CAUTION: Dit artikel bevat informatie over het openen of wijzigen van het register.
Optie 2: voeg binaire bestanden van McAfee toe aan de lijst met uitsluitingen voor injectie door Avecto Privilege Guard door het register te wijzigen met behulp van een GPO-beleid (Group Policy Object)
CAUTION: Dit artikel bevat informatie over het openen of wijzigen van het register.
ontkenningDe inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.
Betrokken productenTalen:Dit artikel is beschikbaar in de volgende talen: |
|