Collegamenti della documentazione del prodotto aggiornati.
23 novembre 2021
Collegamento SIEM ESM aggiornato per la guida del prodotto.
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Siamo al corrente della recente vulnerabilità di spoofing di Windows CryptoAPI (CVE-2020-0601). Disponiamo di tecnologia in fase di sviluppo per rilevare la vulnerabilità e stiamo attualmente conducendo rigorose verifiche di qualità e test di efficacia.
Si consiglia vivamente l'implementazione rapida delle patch Microsoft rilasciate il 14 gennaio 2020. I nostri prodotti sono compatibili con tutti gli aggiornamenti rilasciati nell'aggiornamento martedì patch di gennaio.
Abbiamo inoltre pubblicato un file DAT aggiuntivo allegato a questo articolo per scaricare. Si consiglia vivamente ai clienti di implementare questo file DAT aggiuntivo.
I seguenti prodotti rilevano questa minaccia e forniscono alle organizzazioni i mezzi per rispondere in modo tempestivo:
SIEM è in grado di rilevare exploit tentativi di questa vulnerabilità. Quando un cliente distribuisce l'aggiornamento Windows per risolvere la vulnerabilità in CVE-2020-0601, il sistema operativo inizia a generare un evento Windows quando viene rilevato un tentativo di exploit. L'origine eventi è "audit-CVE" o "Microsoft-Windows-audit-CVE".
Le nuove regole sono state caricate sul server di contenuti con nuovi ID firma che i clienti possono ora utilizzare per creare allarmi. I clienti possono ottenere automaticamente questa regola al successivo aggiornamento oppure possono avviare manualmente un aggiornamento delle regole per aggiornamenti più rapidi. Per ulteriori informazioni, vedere la sezione "verifica degli aggiornamenti delle regole" nella Guida del prodotto Manager 11.5.x Enterprise Security. I nuovi ID firma sono 43 – 458000010 e 43 – 459000010.
Se un cliente non dispone delle regole più recenti, SIEM auto-apprende l'evento e gli assegna un ID di firma di 43 – 2978558213 o 43 – 3364295324. L'ID della firma assegnato dipende dall'origine degli eventi in uso.
La versione 2.2.0 SIEM Microsoft Windows Content Pack e versioni successive vengono aggiornate con un allarme preconfigurato che i clienti possono attivare. Si consiglia ai clienti di effettuare l'aggiornamento alla versione più recente del Content Pack.
I nuovi ID firma da monitorare sono:
ID firma
Messaggio di regola
43–2978558213
1-Verifica-CVE
43–3364295324
1-Microsoft-Windows-verifica-CVE
43–458000010
Vulnerabilità di spoofing di Windows CryptoAPI (CVE-2020-0601)
43–459000010
Vulnerabilità di spoofing di Windows CryptoAPI (CVE-2020-0601)
McAfee Active Response è in grado di rilevare exploit tentativi di questa vulnerabilità. Per identificare i dispositivi che sono stati coinvolti di recente in un tentativo di exploit, è possibile utilizzare il catalogo Active Response per creare un raccoglitore personalizzato. Quindi, utilizzare Active Response Search per eseguire un query utilizzando tale raccolta.
Il raccoglitore personalizzato creato dal cliente Recupera Windows informazioni del registro eventi da Microsoft-Windows-audit-provider CVE.
Digitare la seguente espressione nella casella di ricerca:HostInfo hostname and NSACryptEvents where NSACryptEvents id not equals ""
Interpretazione del risultato
Il risultato è l'elenco dei dispositivi in cui è stato applicato un aggiornamento della sicurezza e recentemente si è verificato un tentativo di exploit di questa vulnerabilità.
Solo i dispositivi con stato di connessione online o in quarantena rispondono alla ricerca.
Ricerca di dispositivi con l'aggiornamento della sicurezza applicato
Accedere a ePO.
Accedere a menu, ricerca Active Response.
Digitare la seguente espressione nella casella di ricerca: InstalledUpdates where InstalledUpdates hotfix_id equals "KB4528760"
Interpretazione del risultato
Il risultato è l'elenco dei dispositivi con KB4528760 applicato.
Solo i dispositivi con stato di connessione online o in quarantena rispondono alla ricerca.
Sostituire con il seguente elenco di numeri di KB ed è possibile ottenere l'elenco dei dispositivi con l'aggiornamento della protezione applicato:
Il team Network Security Platform ha rilasciato una versione 10.8.3.3 di rilascio della Signature di emergenza, il 15 gennaio 2020, per rilevare questa vulnerabilità. La firma presenta il nome e l'ID di attacco seguenti:
Nome attacco: vulnerabilità di spoofing di http: Microsoft Windows CryptoAPI (CVE-2020-0601)
ID attacco: 0x45273900
Vedi KB55446-aggiornamento delle firme di sicurezza di rete per le note di rilascio e ulteriori informazioni sul rilascio del set di firme di emergenza. Nota: Il contenuto a cui si fa riferimento è disponibile solo per gli utenti che hanno effettuato l'accesso a ServicePortal. Per visualizzare il contenuto, fare clic sul collegamento e accedere quando richiesto.
Le firme seguenti per CVE-2020-0601 sono state rilasciate nell'ambito dell'aggiornamento giornaliero dei contenuti (DAT/AMCORE) del 24 gennaio 2020:
V2: 9510 (VSE)
V3: 3961.0 (ENS)
Questo rilevamento dipende da GTI e si verifica solo quando GTI è attivato. Per i sistemi in cui GTI non è attivato o per gli ambienti che non sono connessi a Internet, utilizzare l'extra .DAT allegato a questo articolo.
Extra.DAT
Nota: Il supplemento .DAT che è stato caricato su questo articolo il 16 gennaio 2020 è stato rimosso. Un file extra. DAT aggiornato (rilasciato il 21 gennaio 2020) è ora disponibile per scaricare nella sezione allegati di questa KB.
Abbiamo creato un rilevamento generico per proteggere gli endpoint dallo sfruttamento di questa vulnerabilità (CVE-2020-0601). Questo extra .DAT può essere distribuito agli endpoint che eseguono VSE e ENS. Si consiglia vivamente di eseguire il test di questo extra .DAT su un piccolo gruppo di sistemi prima di distribuirlo all'organizzazione più ampia. In caso di problemi, ad esempio falsi positivi o per qualsiasi domanda relativa a questo file DAT aggiuntivo, aprire una richiesta di assistenza (SR) con Assistenza tecnica.
Download e implementazione aggiuntivi .DAT
Estrarre il EXTRA.zip file allegato a questo articolo.
Aprire il client Endpoint Security.
Nel menu azione , selezionare carica extra. dat.
Fare clic su Sfoglia, passare alla posizione in cui è stato scaricato il Extra.DAT file, quindi fare clic su Apri.
Risultato
I nuovi rilevamenti in extra .DAT hanno effetto immediato.
Il nome del rilevamento CVE2020-0601.hviene visualizzato una volta distribuito il file dat extra ed eseguire una scansione.
MVISION EDR è in grado di rilevare exploit tentativi di questa vulnerabilità. Per identificare i dispositivi che sono stati coinvolti di recente in un tentativo di exploit, è possibile utilizzare Real Time la ricerca dashboard ed eseguire un query utilizzando NSACryptEvents Collector. Il NSACryptEvents raccoglitore recupera le informazioni del registro eventi Windows dal Microsoft-Windows-Audit-CVE provider.
Cerca exploit tentativo
Accedere a EDR.
Accedere al menu, Real-Time cercare.
Digitare la seguente espressione nella casella di ricerca: HostInfo hostname and NSACryptEvents where NSACryptEvents id not equals ""
Interpretazione del risultato
Il risultato è l'elenco dei dispositivi in cui è stato applicato l' aggiornamento della sicurezza e recentemente si è verificato un tentativo di exploit di questa vulnerabilità.
Solo i dispositivi con stato di connessione online o in quarantena rispondono alla ricerca.
Ricerca di dispositivi con aggiornamento della sicurezza applicato
Accedere a EDR.
Accedere al menu, Real-Time cercare.
Digitare la seguente espressione nella casella di ricerca: InstalledUpdates dove InstalledUpdates hotfix_id è uguale a "KB4528760"
Interpretazione del risultato
Il risultato è l'elenco dei dispositivi con KB4528760 applicato. Solo i dispositivi con stato di connessione online o in quarantena rispondono alla ricerca.
Sostituire con il seguente elenco di numeri di KB ed è possibile ottenere l'elenco dei dispositivi con l'aggiornamento della protezione applicato:
Per proteggersi dallo sfruttamento tramite Authenticode-signed Windows binari, il team di Web Protection ha rilasciato un Gateway antimalware (GAM) dat Update il 16 gennaio 2020 (alle 1900 UTC), versione 6974 (o successiva). Include un nuovo rilevamento, denominato “BehavesLike.Win32.MaybeSpoofedCert.*” , per gli exploit di file binari firmati rispetto a CVE-2020-0601. I clienti di Web Gateway e altri prodotti che utilizzano GAM (NSP, ATD) ricevono automaticamente questo aggiornamento dat. Se la cadenza dell'aggiornamento è infrequente, è anche possibile attivare manualmente un aggiornamento DAT.
Nota: Lo scanner SSL (HTTPS proxy) verifica i Web Gateway certificati. Protegge inoltre i browser che utilizzano il CryptAPI delle versioni Windows vulnerabili e senza patch, sui client distribuiti dietro lo Web Gateway scanner SSL, dalle pagine visitate che utilizzano certificati falsificati.
Come configurare la verifica del certificato SSL quando lo scanner SSL non viene utilizzato
Per attivare le funzionalità di verifica del certificato del prodotto senza attivare il controllo SSL, attenersi alla procedura riportata di Web Gateway seguito. Questo approccio consente Web Gateway di aggiungere un altro livello di sicurezza controllando il certificato di un sito Web in base a un elenco di autorità di certificazione note e affidabili. Questa azione impedisce agli utenti di accedere a siti Web che eseguono certificati non protetti o contraffatti.
Nota: Se è già stata eseguita la scansione HTTPS (nota anche come scansione SSL o ispezione SSL), non è necessario attenersi alle istruzioni riportate di seguito. La verifica del certificato fa parte del set di regole di scansione HTTPS, pertanto la verifica del certificato viene attivata se non esplicitamente disattivata. È possibile seguire la procedura riportata di seguito per verificare che la verifica del certificato sia ancora attivata nella policy.
Importante: Si consiglia di importare un'autorità di certificazione esistente già considerata affidabile dai browser oppure di generare una nuova autorità di certificazione e di assicurarsi che sia considerata affidabile dai client della rete. L'autorità di certificazione configurata viene utilizzata per firmare la connessione quando Web Gateway intercetta una connessione e deve visualizzare i modelli HTML ai client. Per ulteriori informazioni, consultare la guida del prodotto.
Accedere all' Web Gateway interfaccia utente. Le istruzioni per accedere all'interfaccia utente sono disponibili nella documentazione del prodotto.
Passare alla scheda policy nella parte superiore dell'interfaccia utente.
Assicurarsi che la scheda set di regole sia selezionata nell'angolo in alto a sinistra.
In set di regole, fare clic su Aggiungi. Nel campo a discesa, selezionare set di Top Level regole.
Nella finestra di dialogo visualizzata, selezionare Importa set di regole dalla libreria set di regole.
Aprire la scansione della categoria https e selezionare il set di regole scansione HTTPS.
Nota: Se non è possibile trovare la scansione HTTPS, il set di regole potrebbe essere trovato come scanner SSL.
Dopo aver selezionato il set di regole, Web Gateway verrà convalidato il set di regole per l'oggetto che esiste all'interno della Policy. Poiché in un'impostazione predefinita policy "scansione HTTPS" è già presente, è probabile che siano stati rilevati elenchi, impostazioni o set di regole esistenti. Risolvere i conflitti facendo riferimento agli oggetti esistenti o creando nuovi oggetti con un nome diverso. Per questo caso di utilizzo specifico, si consiglia di utilizzare la procedura guidata Risolvi conflitti di risoluzione automatica e selezionare Risolvi copiando e rinominandoil suggerimento.
Quando tutti i conflitti vengono risolti, fare clic su OK per importare il set di regole nella Policy.
Dopo l'importazione, selezionare Sblocca visualizzazione per switch dalla procedura guidata alla visualizzazione completa basata su regole.
spostare il set di regole verso la parte superiore della policy. Non è necessario metterlo in cima alla policy. Posizionarlo in cui è in genere possibile trovare il set di regole "scansione HTTPS". Come raccomandazione generica, inserire il set di regole dopo che sono stati applicati gli elenchi "globali" Consenti e blocca e prima che vengano richiamate le regole di "In comune", ad esempio cache Web, Apri, indicazione dello stato di avanzamento.
Selezionare la scansione HTTPS, gestire il set di regole di chiamata Connect .
Per il Conext del setdi regole, a destra, individuare il contesto del client SSL con l'evento ca. Fare clic sull'impostazione associata per aprire le impostazioni di questo evento.
Nell'impostazione, è possibile eseguire una delle due operazioni. È possibile importare un'autorità di certificazione subordinata già affidabile. In alternativa, utilizzare il pulsante genera per creare una nuova autorità di certificazione, che deve essere implementata ai client come indicato in precedenza.
Selezionare la scansione HTTPS, il set di regole di controllo del contenuto .
Rispostare la casella di controllo accanto a attiva nella parte superiore del riquadro del set di regole di destra per disattivare completamente l'intero set di regole di ispezione del contenuto . Assicurarsi che sia disattivato nel riquadro a sinistra che elenca tutti i set di regole. Questa azione viene eseguita perché, in caso contrario, Web Gateway non solo eseguirà la verifica del certificato, ma consente anche l'ispezione dei contenuti per esaminare le connessioni SSL. Non si desidera attivare questa ispezione in questa fase, si desidera attivare solo la verifica del certificato.
Salvare le modifiche.
Da ora in poi, la verifica del Web Gateway certificato è attivata. Se un utente colpisce un certificato non affidabile, non protetto o falsificato, il browser mostra un sito Web HTML generato dalla Web Gateway Descrizione del problema con il certificato. In questo caso, la connessione viene protetta con un certificato firmato dall'autorità di certificazione e importato o generato al passaggio 13.
Per ulteriori informazioni sulla "scansione HTTPS", consultare la documentazione del prodotto, il sito delle Comunità o contattare Assistenza tecnica.
Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Threat Intelligence Exchange (TIE) può aiutare a identificare gli abusi di firma dei file prima di applicare le patch fornendo un flusso di lavoro per imperniare le CA contraffatte e i file binari firmati già eseguiti nell'ambiente.
Ricerca di file binari firmati fraudolenti:
Accedere a ePO.
Accedere a menu, pagina reputazioni Tie .
Fare clic sulla scheda ricerca certificati e utilizzare la funzione trova con 'Microsoft ecc'.
Risultati:
Per ciascun certificato CA elencato, cercare i certificati intermedi fraudolenti mediante azioni-> certificati firmati.
Per ciascun certificato intermedio elencato, cercare i file firmati fraudolenti mediante azioni-> dettagli file associati.
Per ogni binario con firma fraudolenta elencato, cercare i sistemi interessati che utilizzano azioni-> dove è stato utilizzato il file.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.