Si consiglia di implementare contromisure generiche contro le minacce entry-level. Per ulteriori informazioni, vedere:
KB91836 - Contromisure per le minacce del vettore di ingresso. Dei passaggi consigliati descritti nell'articolo, è stato dimostrato un certo successo con la firma di prevenzione exploit ENS "2844: Microsoft Word WordPerfect5 Converter Module Buffer Overflow Vulnerability" rispetto a IOC noti, anche se questa regola è considerata aggressiva e potrebbe generare falsi positivi. Pertanto, dovresti testare completamente questa raccomandazione prima di applicarla ai sistemi di produzione.
Gli amministratori e gli analisti possono utilizzare quanto segue
EDR Real-Time Search per identificare il potenziale comportamento dell'exploit negli ambienti. La query identifica i sistemi con
WinWord.exe come processo in esecuzione, dove
MSHTML.dll è attualmente caricato.
HostInfo hostname and LoadedModules where LoadedModules process_name contains "winword" and LoadedModules module_name contains "mshtml"
La seguente
regola dell'esperto per la prevenzione degli exploit ENS è stata creata per fornire una copertura aggiuntiva a questa minaccia. Questa regola è stata aggiornata per ridurre al minimo i falsi positivi. Tuttavia, dovresti comunque testare a fondo la regola prima di applicarla ai sistemi di produzione. È possibile impostare la regola suggerita in modalità solo rapporto a scopo di test per verificare se provoca conflitti nel proprio ambiente e per monitorare il comportamento di destinazione senza bloccare. Dopo aver stabilito che la regola non blocca alcuna attività da applicazioni legittime, puoi impostare la regola per bloccare e applicare l'impostazione ai sistemi pertinenti.
Rule Class: Processes
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
Include OBJECT_NAME { -v "excel.exe" }
Include OBJECT_NAME { -v "powerpnt.exe" }
Include AggregateMatch -xtype "switch1" {
Include DLL_LOADED -name "ieframe" { -v 0x1 }
}
Include AggregateMatch -xtype "switch2" {
Include DLL_LOADED -name "MSHTML" { -v 0x1 }
}
Include AggregateMatch -xtype "switch3" {
Include DLL_LOADED -name "urlmon" { -v 0x1 }
}
Include AggregateMatch -xtype "switch4" {
Include DLL_LOADED -name "wininet" { -v 0x1 }
}
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "control.exe" }
Include -access "CREATE"
}
}
}
Il 14 settembre 2021, abbiamo rilasciato un nuovo
set di firme di sicurezza di rete (10.8.25.1) per la piattaforma di sicurezza di rete (NSP) contenente la copertura per CVE-2021-40444. Per ulteriori informazioni, vedere:
KB94886 - REGISTRATO - Network Security Signature Sets Release Bulletin (10.8.25.1).
Nota: Il contenuto a cui si fa riferimento è disponibile solo per gli utenti che hanno effettuato l'accesso a ServicePortal. Per visualizzare il contenuto, fare clic sul collegamento e accedere quando richiesto.
HIGH - HTTP: Microsoft MSHTML Remote Code Execution Vulnerability (CVE-2021-40444) (0x45299800): Exploit:
Questo avviso indica un tentativo di sfruttare una vulnerabilità legata all'esecuzione di codice in modalità remota nel documento di Microsoft Office. Questo avviso richiede l'abilitazione della funzione di risposta HTTP. Questo attacco non verrà rilevato se l'opzione di risposta HTTP è disabilitata.
Ulteriori opportunità di copertura sono attualmente in fase di valutazione.