McAfee は、ご使用の環境で監視目的で使用しているのでない限り、誤検知を減らすために、下の表に示す旧エクスプロイト防止署名を無効にすることをお勧めします。
次の表に、署名がサポートされている製品とデフォルトの反応タイプを示します。
|
製品 / 環境 |
|
Host Intrusion Prevention エクスプロイト防止 |
Endpoint Security 脅威対策 エクスプロイト防止 |
署名 ID |
サポートされているか? |
デフォルト反応タイプ |
サポートされているか? |
デフォルト反応タイプ |
1148 |
はい |
無効 |
いいえ |
なし |
6015 |
はい |
無効 |
はい |
無効 |
次の表は、McAfee がなぜこれらの署名を無効にすることを推奨するのかの、理由の詳細を示しています。
署名 ID |
シグネチャ名 |
推奨事項 |
1148 |
CMD Tool Access by a Network Aware Application |
この署名を無効にする この署名は、利用可能な既存の McAfee アンチ ウイルス スキャナによって識別される可能性のあるマルウェア活動がブロックされているため、使用されていません。 |
6015 |
Suspicious Function Invocation - Target Address Mismatch |
この署名を無効にする McAfee は、署名 6015 が誤検知を作成する可能性がある実行時コンパイルに移行するアプリケーションやソフトウェアの最近の増加していることに気付いています。 署名 6015は、Endpoint Security エクスプロイト防止署名の特別なバリアント型です。 他の強力で一般的なエクスプロイト防止署名が利用可能なため、バッファオーバーフローやメモリ破損の悪用に対する冗長な保護層が追加されます。 このようなエクスプロイトの動作は、エクスプロイトのライフサイクルの早い段階で、次の一般的なバッファオーバーフローシグニチャによって捕られる可能性があります。
- 428 - 一般的なバッファーオーバーフロー
- 6012 - 不審な関数の呼び出し - API へ戻る
- 6013 - 不審な関数の呼び出し - CALL は見つかりませんでした
- 6014 - 不審な関数の呼び出し - 返信アドレスが読み取れません
これらの署名が有効になっている場合、セキュリティを犠牲にすることなく署名 6015 を無効にできます。 |