A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Link do SIEM ESM atualizado para o guia do produto.
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
Estamos cientes da vulnerabilidade de falsificação recente do Windows CryptoAPI (CVE-2020-0601). Temos tecnologia em desenvolvimento para detectar a vulnerabilidade e atualmente realizando testes de adrigorosas de garantia e eficácia de qualidade.
Recomendamos enfaticamente uma distribuição rápida dos patches Microsoft lançados em 14 de janeiro de 2020. Nossos produtos são compatíveis com todas as atualizações lançadas na atualização de patches de janeiro Tuesday.
Também publicamos um DAT Extra anexado a este artigo para download. É altamente recomendável que os clientes implantem esse DAT extra.
Os produtos a seguir detectam essa ameaça e oferecem às organizações o meio de responder em tempo hábil:
O SIEM pode detectar tentativas de exploração para essa vulnerabilidade. Quando um cliente implanta o Windows atualização para corrigir a vulnerabilidade no CVE-2020-0601, o sistema operacional começa a gerar um evento de Windows quando uma tentativa de exploração é detectada. A origem do evento é "auditoria-CVE" ou "Microsoft-Windows-auditoria-CVE".
As novas regras foram carregadas no servidor de conteúdo com novas IDs de assinatura que agora os clientes podem usar para criar alarmes. Os clientes podem obter essa regra automaticamente em seus próximos atualização, ou podem iniciar manualmente uma atualização de regra para atualizações mais rápidas. Para obter mais informações, consulte a seção "verificar se há atualizações de regras" no Guia de produto do Enterprise Security Manager 11.5.x. As novas IDs de assinatura são 43 – 458000010 e 43 – 459000010.
Se um cliente não tiver as regras mais recentes, o SIEM aprende automaticamente o evento e atribui uma ID de assinatura de 43 – 2978558213 ou 43 – 3364295324. A ID de assinatura atribuída depende de qual origem de evento está sendo usada.
A versão 2.2.0 do SIEM Microsoft Windows Content Pack e versões posteriores são atualizadas com um alarme pré-configurado que os clientes podem ativar. Aconselhamos que os clientes atualização à versão mais recente do pacote de conteúdo.
As novas IDs de assinatura para monitor são:
ID de assinatura
Mensagem de regra
43–2978558213
1-auditoria-CVE
43–3364295324
1-Microsoft-Windows-auditoria-CVE
43–458000010
Vulnerabilidade de falsificação de CryptoAPI do Windows (CVE-2020-0601)
43–459000010
Vulnerabilidade de falsificação de CryptoAPI do Windows (CVE-2020-0601)
McAfee Active Response pode detectar tentativas de exploração para essa vulnerabilidade. Para identificar os dispositivos que foram envolvidos recentemente em uma tentativa de exploração, você pode usar o catálogo de respostas ativas para criar um coletor personalizado. Em seguida, use a pesquisa do Active Response para executar uma consulta usando o coletor.
O coletor personalizado criado pelo cliente recupera informações de Windows log de eventos do provedor de CVE Microsoft Windows.
Digite a seguinte expressão na caixa de pesquisa:HostInfo hostname and NSACryptEvents where NSACryptEvents id not equals ""
Interpretação de resultados
O resultado é a lista de dispositivos em que um atualização de segurança foi aplicado e houve recentemente uma tentativa de exploração dessa vulnerabilidade.
Somente os dispositivos com status de conexão on-line ou quarentena respondem à pesquisa.
Procurar dispositivos com a atualização de segurança aplicada
Entre no ePO.
Vá para o menu, Active Response Search.
Digite a seguinte expressão na caixa de pesquisa: InstalledUpdates where InstalledUpdates hotfix_id equals "KB4528760"
Interpretação de resultados
O resultado é a lista de dispositivos com o KB4528760 aplicado.
Somente os dispositivos com status de conexão on-line ou quarentena respondem à pesquisa.
Substituir pela lista a seguir de números de KB e obter a lista de dispositivos com a atualização de segurança aplicada:
A equipe da plataforma de segurança de rede lançou uma versão 10.8.3.3 de lançamento do conjunto de assinaturas de emergência em 15 de janeiro de 2020, para detectar essa vulnerabilidade. A assinatura tem o seguinte nome de ataque e ID:
Nome do ataque: http: Microsoft Windows vulnerabilidade de falsificação de CryptoAPI (CVE-2020-0601)
ID de ataque: 0x45273900
Consulte KB55446-Network Security Signature Set Update for Release Notes e informações adicionais sobre a liberação do conjunto de assinaturas de emergência. Nota: O conteúdo mencionado está disponível somente para logon feito no ServicePortal users. Para exibir o conteúdo, clique no link e efetue login quando solicitado.
As seguintes assinaturas do CVE-2020-0601 foram lançadas como parte do conteúdo diário (DAT/do AMCORE) atualização em 24 de janeiro de 2020:
V2: 9510 (VSE)
V3: 3961.0 (ENS)
Essa detecção depende do GTI e ocorre somente quando o GTI está ativado. Para os sistemas em que o GTI não está ativado ou em ambientes que não estão conectados à Internet, use o extra .DAT anexado a este artigo.
Extra.DAT
Nota: O extra .DAT que foi carregado para este artigo em 16 de janeiro de 2020 foi removido. Um extra. DAT atualizado (lançado em 21 de janeiro de 2020) agora está disponível para download na seção anexo deste KB.
Criamos uma detecção genérica para proteger os pontos de extremidade contra a exploração dessa vulnerabilidade (CVE-2020-0601). Essa extração .DAT pode ser distribuída em terminais que executam o VSE e o ens. Recomendamos que você teste esse extra .DAT em um pequeno grupo de sistemas antes de distribuí-lo para a organização mais ampla. Se houver algum problema, como falsos positivos, ou se você tiver alguma dúvida sobre esse DAT extra, abra uma solicitação de serviço (SR) com Suporte técnico.
Download e distribuição extras .DAT
Extraia a EXTRA.zip arquivo anexada a este artigo.
Abra o cliente do Endpoint Security.
No menu ação , selecione carregar extra. dat.
Clique em procurar, vá para o local em que você fez o download do Extra.DAT arquivo e clique em abrir.
Resultado
As novas detecções no extra .DAT entrarão em vigor imediatamente.
O nome da detecção CVE2020-0601.hé exibido após a distribuição do dat extra e a execução de uma varredura.
MVISION EDR pode detectar tentativas de exploração para essa vulnerabilidade. Para identificar os dispositivos que foram envolvidos recentemente em uma tentativa de exploração, você pode usar Real Time o Dashboard de pesquisa e executar uma consulta usando NSACryptEvents o coletor. O NSACryptEvents coletor recupera informações do registro de eventos de Windows do Microsoft-Windows-Audit-CVE provedor.
Pesquisar tentativa de exploração
Entre no EDR.
Vá para o menu, Real-Time Pesquisar.
Digite a seguinte expressão na caixa de pesquisa: HostInfo hostname and NSACryptEvents where NSACryptEvents id not equals ""
Interpretação de resultados
O resultado é a lista de dispositivos em que o atualização de segurança foi aplicado e recentemente houve uma tentativa de exploração dessa vulnerabilidade.
Somente os dispositivos com status de conexão on-line ou quarentena respondem à pesquisa.
Pesquisa de dispositivos com o atualização de segurança aplicado
Entre no EDR.
Vá para o menu, Real-Time Pesquisar.
Digite a seguinte expressão na caixa de pesquisa: InstalledUpdates onde InstalledUpdates hotfix_id igual a "KB4528760"
Interpretação de resultados
O resultado é a lista de dispositivos com o KB4528760 aplicado. Somente os dispositivos com status de conexão on-line ou quarentena respondem à pesquisa.
Substituir pela lista a seguir de números de KB, e você pode obter a lista de dispositivos com a atualização de segurança aplicada:
Para proteger contra a exploração por Authenticode-signed Windows binários, a equipe de proteção na Web liberou um Gateway Anti-Malware dat atualização em 16 de janeiro de 2020 (às 1900 UTC), versão 6974 (ou mais recente). Ele inclui uma nova detecção, nomeada “BehavesLike.Win32.MaybeSpoofedCert.*” , para explorações de binários assinados em relação ao CVE-2020-0601. Os clientes de Web Gateway e outros produtos que usam o GAM (NSP, ATD), recebem esse DAT atualização automaticamente. Se o seu atualização cadência for infrequente, você também poderá disparar um DAT atualização manualmente.
Nota: O mecanismo de Web Gateway varredura SSL (HTTPS proxy) verifica os certificados. Ele também protege os navegadores que estão usando o CryptAPI de versões de Windows vulneráveis e sem patches-em clientes implantados por trás do Web Gateway mecanismo de varredura SSL-em páginas de visita que usam certificados falsificados.
Como configurar a verificação de certificado SSL quando o mecanismo de varredura SSL não é usado
Para ativar os recursos de verificação de certificado Web Gateway produto sem ativar a inspeção SSL, use as etapas a seguir. Essa abordagem permite Web Gateway adicionar outra camada de segurança, verificando o certificado de um site em relação a uma lista de autoridades de certificação conhecidas e confiáveis. Essa ação impede que os usuários acessem sites que executam certificados não seguros ou fraudados.
Nota: Se você já tiver a varredura de HTTPS (também conhecida como varredura SSL ou inspeção SSL), não será necessário seguir estas instruções. A verificação de certificado faz parte do conjunto de regras de varredura HTTPS, de modo que a verificação de certificado é ativada se não estiver explicitamente desativada. Você pode seguir as etapas abaixo para validar que a verificação de certificado ainda está ativada em sua política.
Importante: É recomendável que você importe uma autoridade de certificação existente que já seja confiável para os navegadores ou gere uma nova autoridade de certificação e certifique-se de que ela seja confiável para os clientes da sua rede. A autoridade de certificação configurada é usada para assinar a conexão ao Web Gateway interceptar uma conexão e precisa exibir modelos HTML para os clientes. Para obter mais detalhes, consulte o guia de produto do.
Acesse a interface do Web Gateway usuário. As instruções para acessar a interface do usuário estão disponíveis na documentação do produto.
Alterne para a guia de política na parte superior da interface do usuário.
Certifique-se de que a guia conjunto de regras esteja selecionada no canto superior esquerdo.
Em conjuntos de regras, clique em Adicionar. No campo suspenso, selecione Top Level conjunto de regras.
Na caixa de diálogo que é aberta, selecione Importar conjunto de regras da biblioteca de conjuntos de regras.
Abra a varredura https da categoria e selecione a regra definir varredura https.
Nota: Se você não conseguir encontrar a varredura de HTTPS, o conjunto de regras poderá ser encontrado como um mecanismo de varredura SSL.
Depois que você selecionar o conjunto de regras, Web Gateway o validará o conjunto de regras para o objeto que existe dentro da política. Como a política padrão "verificação de HTTPS" já está presente, é provável que as listas, as configurações ou os conjuntos de regras existentes sejam encontrados. Resolva os conflitos referindo-se a objetos existentes ou criando novos objetos com um nome diferente. Para esse caso de uso específico, a recomendação é usar o assistente para solucionar conflitos automaticamente e selecionar resolver copiando e renomeando para sugerido.
Quando todos os conflitos forem resolvidos, clique em OK para importar o conjunto de regras para a política.
Após a importação, selecione desbloquear exibição para switch do assistente para a exibição completa baseada em regra.
Mova o conjunto de regras para a parte superior da sua política. Não há necessidade de colocá-la na parte superior de sua política. Coloque-o em que o conjunto de regras "varredura de HTTPS" normalmente pode ser encontrado. Como recomendação genérica, coloque o conjunto de regras depois que as listas de permissão e bloqueio "globais" tiverem sido aplicadas e antes das "regras de Em Comum", como cache da Web, Abertores, a indicação de andamento são chamadas.
Selecione o conjunto de regras de varredura de HTTPS, manipulador de conexão .
No cliente do conjuntode regras, na próxima, localize o Ativar contexto de cliente SSL com evento de autoridade de certificação . Clique na configuração associada para abrir as configurações para este evento.
Na configuração, você pode executar uma das duas ações a seguir. Importe uma autoridade de certificação subordinada já confiável. Ou use o botão gerar para criar uma nova autoridade de certificação, que precisa ser distribuída aos clientes, conforme indicado anteriormente.
Selecione a varredura de HTTPSe o conjunto de regras de inspeção de conteúdo .
Remova a caixa de seleção ao lado de Ativar na parte superior do painel conjunto de regras à direita para desativar completamente todo o conjunto de regras de inspeção de conteúdo . Certifique-se de que ele esteja esmaecido no painel esquerdo, listando todos os conjuntos de regras. Essa ação é realizada porque, caso contrário, Web Gateway não apenas executaria a verificação de certificado, mas também ativará a inspeção de conteúdo para examinar conexões SSL. Você não deseja ativar esta inspeção nesta etapa, só deseja ativar a verificação de certificado.
Salve as alterações.
A partir de agora, a Web Gateway verificação de certificado no está ativada. Se um usuário atingir um certificado não confiável, inseguro ou falsificado, o navegador mostrará um site HTML gerado pela Web Gateway estruturação do problema com o certificado. Nesse caso, a conexão é protegida com um certificado assinado pela autoridade de certificação e importada ou gerada na etapa 13.
Para obter mais detalhes sobre "varredura de HTTPS", consulte a documentação do produto, o site de nossas comunidades ou entre em contato com Suporte técnico.
Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
Se você não for um usuário registrado, clique em registrar e preencha os campos para ter sua senha e suas instruções enviadas por e-mail para você.
A Threat Intelligence Exchange (TIE) pode ajudar a identificar arquivo abuso de assinatura antes de aplicar patch, fornecendo um fluxo de trabalho para dinamizar a CAs falsificadas e seus binários assinados já executados no ambiente.
Pesquisar binários assinados por fraudulentos:
Entre no ePO.
Vá para o menu, página reputações do tie .
Clique na guia pesquisa de certificados e use a localização rápida com 'Microsoft ECC'.
Resultados:
Para cada certificado de autoridade de certificação listado, procure certificados intermédios fraudulentos usando ações-> certificados assinados.
Para cada certificado intermediário listado, procure arquivos com assinatura fraudulenta usando ações-> detalhes do arquivo associado.
Para cada binário assinado por fraudulento, procure os sistemas afetados usando as ações-> onde o arquivo foi usado.
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.