Nous vous recommandons de mettre en œuvre des contre-mesures génériques contre les menaces d'entrée de gamme. Pour plus d'informations, consultez :
KB91836 - Contre-mesures pour les menaces vectorielles d'entrée. Parmi les étapes recommandées décrites dans l'article, un certain succès a été démontré avec la signature ENS Exploit Prevention "2844 : Microsoft Word WordPerfect5 Converter Module Buffer Overflow Vulnerability" contre les IOC connus, bien que cette règle soit considérée comme agressive puis surse entraîner des faux positifs. Vous devez donc tester complètement cette recommandation avant de l'appliquer aux systèmes de production.
Les administrateurs et les analystes peuvent utiliser les
EDR Real-Time Search suivants pour aider à identifier le comportement potentiel de l'exploit dans les environnements. La requête identifie les systèmes avec
WinWord.exe en tant que processus en cours d'exécution, où
MSHTML.dll est actuellement chargé.
HostInfo hostname and LoadedModules where LoadedModules process_name contains "winword" and LoadedModules module_name contains "mshtml"
La
règle d'experts ENS Exploit Prevention suivante a été créée pour fournir une couverture supplémentaire à cette menace. Cette règle a été mise à jour pour minimiser les faux positifs. Cependant, vous devez tout de même tester soigneusement la règle avant de l'appliquer aux systèmes de production. Vous pouvez définir la règle suggérée en mode rapport uniquement à des fins de test pour vérifier si elle provoque un conflit dans votre environnement et pour surveiller le comportement cible sans blocage. Une fois que vous avez déterminé que la règle ne bloque aucune activité des applications légitimes, vous pouvez définir la règle pour bloquer et appliquer le paramètre aux systèmes concernés.
Rule Class: Processes
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
Include OBJECT_NAME { -v "excel.exe" }
Include OBJECT_NAME { -v "powerpnt.exe" }
Include AggregateMatch -xtype "switch1" {
Include DLL_LOADED -name "ieframe" { -v 0x1 }
}
Include AggregateMatch -xtype "switch2" {
Include DLL_LOADED -name "MSHTML" { -v 0x1 }
}
Include AggregateMatch -xtype "switch3" {
Include DLL_LOADED -name "urlmon" { -v 0x1 }
}
Include AggregateMatch -xtype "switch4" {
Include DLL_LOADED -name "wininet" { -v 0x1 }
}
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "control.exe" }
Include -access "CREATE"
}
}
}
Le 14 septembre 2021, nous avons publié un nouvel
ensemble de signatures de sécurité réseau (10.8.25.1) pour la plate-forme de sécurité réseau (NSP) contenant une couverture pour CVE-2021-40444. Pour plus d'informations, consultez :
KB94886 - REGISTERED - Network Security Signature Sets Release Bulletin (10.8.25.1).
Remarque : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
ÉLEVÉ - HTTP : Vulnérabilité d'exécution de code à distance Microsoft MSHTML (CVE-2021-40444) (0x45299800) : Exploit :
Cette alerte indique une tentative d'exploitation d'une vulnérabilité d'exécution de code à distance dans un document Microsoft Office. Cette alerte nécessite l'activation de la fonctionnalité de réponse HTTP. Cette attaque ne sera pas détectée si l'option de réponse HTTP est désactivée.
D'autres possibilités de couverture sont actuellement en cours d'évaluation.