Prevenzione exploit/host IPS
La copertura per la prevenzione degli exploit Prevenzione delle minacce ENS e per gli host IPS è in fase di valutazione. Sono stati confermati i seguenti CVE.
CVE-2019-0708 |
RCE of Windows Remote Desktop Services (RDS) |
Covered by existing Network Intrusion Prevention System (NIPS) signature 6137 |
CVE-2016-0167 |
Local privilege escalation on older versions of Microsoft Windows |
Expected coverage by Generic Privilege Escalation Prevention (GPEP) |
CVE-2020-1472 |
Microsoft Active Directory escalation of privileges |
Covered by 6182 |
CVE-2020-10189 |
RCE per ZoHo ManageEngine Desktop Central |
Regola di esperti riportata di seguito |
CVE-2019-8394 |
Caricamento file arbitrario di Zoho ManageEngine ServiceDesk Plus (SDP) |
Regola di esperti riportata di seguito |
CVE-2020-0688
CVE-2019-0604 |
IIS firma di inviluppo |
Regola di esperti riportata di seguito |
Regola degli esperti per CVE-2020-10189-RCE per
ZoHo ManageEngine Desktop Central:
Nome regola |
Blocco ZoHo ManageEngine Desktop RCE centrale |
Gravità |
Alta |
Azione |
Blocca, segnala |
Tipo di regola |
Processi |
Contenuto della regola |
Rule {
Process {
Include OBJECT_NAME { -v "**\\DesktopCentral_Server\\jre\\bin\\java.exe" }
Include PROCESS_CMD_LINE { -v "**DCStarter**" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "cmd.exe" }
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "cscript.exe" }
Include OBJECT_NAME { -v "wscript.exe" }
Exclude PROCESS_CMD_LINE { -v "**.bat**" }
Include -access "CREATE"
}
}
} |
Note Opzionale |
CVE-2020-10189 |
Regola degli esperti per CVE-2019-8394-caricamento di file arbitrario di Zoho ManageEngine ServiceDesk Plus (SDP):
Nome regola |
Blocca il caricamento di file arbitrario di Zoho ManageEngine ServiceDesk Plus (SDP) |
Gravità |
Alta |
Azione |
Blocca, segnala |
Tipo di regola |
File |
Contenuto della regola |
Rule {
Process {
Include OBJECT_NAME { -v "**\\ManageEngine\\ServiceDesk\\jre\\bin\\java.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "**\\ManageEngine\\ServiceDesk\\custom\\login\\*.jsp" }
Include -access "WRITE"
}
}
} |
Note Opzionale |
CVE-2019-8394 |
Regola degli esperti per CVE-2020-0688 e CVE-2019-060. Questa regola è una firma di inviluppo che impedisce gli attacchi al processo di IIS utilizzando le vulnerabilità dei tipi di deserializzazione:
Nome regola |
IIS firma di inviluppo |
Gravità |
Alta |
Azione |
Blocca, segnala |
Tipo di regola |
Processi |
Contenuto della regola |
Rule {
Process {
Include OBJECT_NAME { -v "w3wp.exe" }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "cmd.exe" }
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "cscript.exe" }
Include OBJECT_NAME { -v "wscript.exe" }
Include OBJECT_NAME { -v "mshta.exe" }
Include -access "CREATE"
}
}
} |
Note Opzionale |
CVE-2020-0688
CVE-2019-0604 |