En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Vínculos de documentación de productos actualizados.
23 de noviembre de 2021
Vínculo de SIEM ESM actualizado para la guía del producto.
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
Somos consciente de la Windows reciente vulnerabilidad de suplantación de identidad de CryptoAPI (CVE-2020-0601). Tenemos tecnología en desarrollo para detectar la vulnerabilidad y están llevando a cabo pruebas rigurosas de control de calidad y eficacia.
Le recomendamos encarecidamente el despliegue rápido de los parches de Microsoft publicados el 14 de enero de 2020. Nuestros productos son compatibles con todas las actualizaciones publicadas en la actualización del martes de parches de enero.
También hemos publicado un archivo DAT adicional adjunto a este artículo para su descarga. Se recomienda encarecidamente a los clientes que desplieguen este DAT adicional.
Los siguientes productos detectan esta amenaza y proporcionan a las organizaciones los medios para responder de forma puntual:
SIEM puede detectar intentos de exploit para esta vulnerabilidad. Cuando un cliente despliega la Windows Update para corregir la vulnerabilidad en CVE-2020-0601, el sistema operativo comienza a generar un evento de Windows cuando se intenta detectar exploit. El origen de eventos puede ser "Audit-CVE" o bien "Microsoft-Windows-Audit-CVE".
Las reglas nuevas se han cargado en el servidor de contenido con nuevos ID de firma que ahora los clientes pueden utilizar para crear alarmas. Los clientes pueden obtener automáticamente esta regla en su próxima actualización o pueden iniciar manualmente una actualización de reglas para que las actualizaciones sean más rápidas. Para obtener más información, consulte la sección "comprobación de actualizaciones de reglas" en la guía del producto de la Manager 11.5.x Enterprise Security. Los nuevos ID de firma son 43 – 458000010 y 43 – 459000010.
Si un cliente no tiene las reglas más recientes, SIEM automáticamente aprende el evento y le asigna un ID de firma de 43 – 2978558213 o 43 – 3364295324. El ID de firma asignado depende de qué origen de eventos se esté utilizando.
La versión 2.2.0 del paquete de contenido de SIEM Microsoft Windows y posteriores se actualizan con una alarma preconfigurada que los clientes pueden activar. Le recomendamos a los clientes que se actualicen a la última versión del paquete de contenido.
Los nuevos ID de firma que monitor son:
ID de firma
Mensaje de regla
43–2978558213
1-auditoría-CVE
43–3364295324
1-Microsoft-Windows-Audit-CVE
43–458000010
Vulnerabilidad de suplantación de Windows CryptoAPI (CVE-2020-0601)
43–459000010
Vulnerabilidad de suplantación de Windows CryptoAPI (CVE-2020-0601)
McAfee Active Response puede detectar intentos de exploit para esta vulnerabilidad. Para identificar los dispositivos implicados recientemente en un intento de exploit, puede utilizar Active Response Catalog para crear un recopilador personalizado. A continuación, utilice búsqueda de Active Response para ejecutar una consulta con ese recopilador.
El recopilador personalizado creado por el cliente recupera Windows información del registro de eventos de Microsoft-Windows-Audit-proveedor de CVE.
Escriba la siguiente expresión en el cuadro de búsqueda:HostInfo hostname and NSACryptEvents where NSACryptEvents id not equals ""
Interpretación de resultados
El resultado es la lista de dispositivos en los que se ha aplicado una actualización de seguridad y se han producido algunos intentos de exploit de esta vulnerabilidad recientemente.
Solo los dispositivos con el estado de conexión de online o Quarantine responden a la búsqueda.
Buscar dispositivos con la actualización de seguridad aplicada
Inicie sesión en ePO.
Vaya a menú, búsqueda de Active Response.
Escriba la siguiente expresión en el cuadro de búsqueda: InstalledUpdates where InstalledUpdates hotfix_id equals "KB4528760"
Interpretación de resultados
El resultado es la lista de dispositivos con KB4528760 aplicado.
Solo los dispositivos con el estado de conexión de online o Quarantine responden a la búsqueda.
Sustituya por la siguiente lista de números de KB y podrá obtener la lista de dispositivos con la actualización de seguridad aplicada:
El equipo de Network Security Platform publicó una versión 10.8.3.3 de lanzamiento de la firma de emergencia el 15 de enero de 2020 para detectar esta vulnerabilidad. La firma tiene el siguiente nombre e ID de ataque:
Nombre de ataque: http: Microsoft Windows vulnerabilidad de suplantación de CryptoAPI (CVE-2020-0601)
ID de ataque: 0x45273900
Véase KB55446-actualización de conjunto de firmas de seguridad de red para las notas de la versión e información adicional sobre la versión del conjunto de firmas de emergencia. Nota: El contenido al que se hace referencia solo está disponible para los usuarios de ServicePortal registrados. Para ver el contenido, haga clic en el vínculo e inicie sesión cuando se le solicite.
Las siguientes firmas para CVE-2020-0601 se publicaron como parte de la actualización de contenido diario (DAT/AMCORE Content) el 24 de enero de 2020:
V2: 9510 (VSE)
V3: 3961.0 (ENS)
Esta detección depende de GTI y se produce solo cuando se ha activado GTI. En los sistemas en los que GTI no esté activado, o en entornos que no estén conectados a Internet, utilice el archivo extra .DAT adjunto con este artículo.
Extra.DAT
Nota: Se ha eliminado el extra .DAT que se ha cargado en este artículo el 16 de enero de 2020. Ya hay disponible un extra. DAT actualizado (publicado el 21 de enero de 2020) para su descarga en la sección de datos adjuntos de esta KB.
Hemos creado una detección genérica para proteger los endpoints contra el aprovechamiento de esta vulnerabilidad (CVE-2020-0601). Este extra .DAT se puede desplegar en los endpoints que ejecutan VSE y ens. Le recomendamos encarecidamente que pruebe este extra .DAT en un grupo reducido de sistemas antes de desplegarlo en la organización más amplia. Si hay algún problema, como falsos positivos, o si tiene alguna duda sobre este DAT adicional, abra una solicitud de servicio (SR) con Soporte técnico.
Descarga e implementación adicionales .DAT
Extraiga el EXTRA.zip archivo adjunto a este artículo.
Abra el cliente de Endpoint Security.
En el menú acción , seleccione cargar extra. dat.
Haga clic en examinar, vaya a la ubicación donde haya descargado el Extra.DAT archivo y haga clic en abrir.
Resultado
Las nuevas detecciones del extra .DAT se aplican de forma inmediata.
El nombre de detección CVE2020-0601.hse muestra cuando se distribuye el DAT adicional y se ejecuta un análisis.
MVISION EDR puede detectar intentos de exploit para esta vulnerabilidad. Para identificar los dispositivos implicados recientemente en un intento de exploit, puede utilizar Real Time el panel buscar y ejecutar una consulta mediante NSACryptEvents el recopilador. El recopilador recupera la NSACryptEvents información del registro de eventos de Windows del Microsoft-Windows-Audit-CVE proveedor.
Buscar exploit intento
Inicie sesión en EDR.
Vaya a menú, Real-Time Buscar.
Escriba la siguiente expresión en el cuadro de búsqueda: HostInfo hostname and NSACryptEvents where NSACryptEvents id not equals ""
Interpretación de resultados
El resultado es la lista de dispositivos en los que se aplicó la actualización de seguridad y se han producido algunos exploit intento de esta vulnerabilidad recientemente.
Solo los dispositivos con el estado de conexión de online o Quarantine responden a la búsqueda.
Buscar dispositivos con actualización de seguridad aplicada
Inicie sesión en EDR.
Vaya a menú, Real-Time Buscar.
Escriba la siguiente expresión en el cuadro de búsqueda: InstalledUpdates donde InstalledUpdates hotfix_id es igual a "KB4528760"
Interpretación de resultados
El resultado es la lista de dispositivos con KB4528760 aplicado. Solo los dispositivos con el estado de conexión de online o Quarantine responden a la búsqueda.
Sustituya por la siguiente lista de números de KB y podrá obtener la lista de dispositivos con la actualización de seguridad aplicada:
Para protegerse del aprovechamiento a través Authenticode-signed de archivos binarios de Windows, el equipo de protección web ha publicado una Gateway Anti-Malware actualización de DAT (GAM) el 16 de enero de 2020 (a las 1900 UTC), versión 6974 (o posterior). Incluye una nueva detección, con nombre “BehavesLike.Win32.MaybeSpoofedCert.*” , para aprovecharse de los archivos binarios firmados frente a CVE-2020-0601. Los clientes de Web Gateway y otros productos que utilicen GAM (NSP, ATD) recibirán esta actualización de DAT automáticamente. Si la cadencia de actualización es poco frecuente, también puede activar una actualización de DAT de forma manual.
Nota: El analizador SSL (HTTPS proxy) verifica los Web Gateway certificados. También protege los navegadores que utilizan CryptAPI de versiones vulnerables y sin Windows parches-en los clientes desplegados tras el Web Gateway analizador SSL: desde las páginas que utilizan certificados falsificados.
Cómo configurar la verificación de certificados SSL cuando no se utiliza el analizador de SSL
Para activar las capacidades de verificación de certificados del Web Gateway producto sin activar la inspección de SSL, siga estos pasos. Este enfoque permite Web Gateway Agregar otro nivel de seguridad mediante la comprobación del certificado de un sitio web en una lista de autoridades de certificación conocidas y de confianza. Esta acción impide que los usuarios accedan a sitios web que ejecutan certificados no seguros o falsificados.
Nota: Si ya tiene el análisis de HTTPS (también conocido como análisis SSL o inspección de SSL) en su lugar, no es necesario que siga estas instrucciones. La comprobación de certificados forma parte del conjunto de reglas de análisis HTTPS, por lo que la verificación de certificados está activada si no se desactiva de forma explícita. Puede seguir los pasos que se indican a continuación para validar que la comprobación de certificados esté aún activada en su Directiva.
Importante: Se recomienda encarecidamente importar una autoridad de certificación existente que ya sea de confianza para los navegadores, o bien generar una nueva autoridad de certificación y asegurarse de que los clientes de la red confíen en ella. La autoridad de certificación configurada se utiliza para firmar la conexión cuando Web Gateway intercepta una conexión y necesita mostrar plantillas HTML a los clientes. Para obtener más detalles, consulte la guía del productode.
Acceda a la interfaz de Web Gateway usuario. Las instrucciones para acceder a la interfaz de usuario están disponibles en la documentación del producto.
Cambie a la pestaña Directiva en la parte superior de la interfaz de usuario.
Asegúrese de que la pestaña grupo de reglas esté seleccionada en la esquina superior izquierda.
En conjuntos de reglas, haga clic en Agregar. En el campo desplegable, seleccione Top Level conjunto de reglas.
En el cuadro de diálogo que se abre, seleccione importar conjunto de reglas de la biblioteca de conjuntos de reglas.
Abra el análisis https de la categoría y seleccione el análisis httpsdel conjunto de reglas.
Nota: Si no puede encontrar el análisis de https, es posible que el conjunto de reglas se encuentre como analizador SSL.
Tras seleccione el conjunto de reglas, Web Gateway se validará el conjunto de reglas para el objeto que existe en su Directiva. Dado que en una directiva predeterminada "análisis HTTPS" ya está presente, es probable que se hayan encontrado listas, configuraciones o conjuntos de reglas. Para resolver los conflictos, puede hacer referencia a objetos existentes o crear nuevos objetos con un nombre distinto. Para este caso de uso específico, se recomienda utilizar el Asistente de conflictos de resolución automática y seleccione resolver mediante la copia y el cambio de nombre según lo sugerido.
Cuando se resuelvan todos los conflictos, haga clic en Aceptar para importar el conjunto de reglas a su Directiva.
Tras la importación, seleccione desbloquear vista para cambiar del asistente a la vista completa basada en reglas.
Mueva el conjunto de reglas hacia la parte superior de la Directiva. No es necesario colocarlo en la parte superior de la Directiva. Colóquelo en el punto en el que se podría encontrar el conjunto de reglas "análisis HTTPS". Como recomendación genérica, coloque el conjunto de reglas tras aplicar las listas de permitidos y bloqueados "globales" y antes de llamar a las "reglas Ajustes generales", como la caché Web, los abridores y la indicación del progreso.
Seleccione el conjunto de regpara los análisis https, administrar llamada de conexión .
En el siguiente lado cliente de conjuntode reglas, a la derecha, busque el evento Seleccionar contexto de cliente SSL con CA . Haga clic en la configuración asociada para abrir la configuración de este evento.
En la configuración, puede realizar una de dos cosas. Puede importar una autoridad de certificación subordinada de confianza. O bien, utilice el botón generar para crear una nueva autoridad de certificación, que se debe desplegar en los clientes como se indicó anteriormente.
Seleccione el conjunto de regpara los análisis de https, inspección de contenido .
Elimine la casilla de verificación situada junto a Seleccionar en la parte superior del panel conjunto de reglas derecho para desactivar completamente todo el conjunto de reglas de la inspección de contenido . Asegúrese de que esté atenuada en el panel de la izquierda que muestra todos los conjuntos de reglas. Esta acción se realiza porque, de lo contrario, Web Gateway no solo realizaría la comprobación de certificados, sino que también activar la inspección de contenido para buscar conexiones SSL. No desea activar esta inspección en esta fase, solo desea activar la verificación de certificados.
Guarde los cambios.
A partir de ahora, la Web Gateway verificación de certificados en está activada. Si un usuario toca un certificado que no es de confianza, no es seguro o está falsificado, el navegador muestra un sitio web HTML generado por la Web Gateway esquematización del problema con el certificado. En este caso, la conexión se protege con un certificado firmado por la autoridad de certificación y se importa o genera en el paso 13.
Para obtener más detalles sobre el "Análisis de HTTPS", consulte la documentación del producto, el sitio de comunidades o la Soporte técnico de contacto.
Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
Si no es un usuario registrado, haga clic en registrar y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Threat Intelligence Exchange (empate) puede ayudar a identificar el abuso de la firma de archivos antes de aplicar parches, proporcionando un flujo de trabajo para dinamizar las CA falsificadas y sus archivos binarios firmados ya se ejecutan en el entorno.
Buscar archivos binarios firmados fraudulentos:
Inicie sesión en ePO.
Vaya a menú, página reputaciones de perfamaciones .
Haga clic en la pestaña búsqueda de certificado y utilice búsqueda rápida con "Microsoft ECC".
Resultados:
Para cada certificado de CA mostrado, busque certificados intermedios fraudulentos mediante acciones > certificados firmados.
Para cada certificado intermedio de la lista, busque archivos firmados fraudulentos mediante acciones-detalles de archivo asociado de >.
Para cada archivo binario firmado fraudulento de la lista, busque los sistemas afectados mediante las acciones-> donde se utilizó el fichero.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.