McAfee Enterprise は、エントリ レベルの脅威に対する一般的な対策を実装することをお勧めします。 更なる情報については、
KB91836 - Countermeasures for entry vector threats を参照してください。 この記事で概説されている推奨手順のうち、既知の IOC に対する ENS エクスプロイト防止シグネチャ 「2844:Microsoft Word WordPerfect5 Converter Module Buffer Overflow Vulnerability」 である程度の成功が示されていますが、このルールは攻撃的であると見なされ、誤検知が発生する可能性があります。 したがって、本番システムに適用する前に、この推奨事項を完全にテストする必要があります。
環境でのエクスプロイトから潜在的な動作を特定支援のため、管理者とアナリストは次の
EDR Real-Time Search が使用できます。 クエリは、
WinWord.exe を使用するシステムを
MSHTML.dll が現在ロードされている実行中のプロセスとして識別します。.
HostInfo hostname and LoadedModules where LoadedModules process_name contains "winword" and LoadedModules module_name contains "mshtml"
次の
ENS エクスプロイト防止エキスパート ルール は追加のカバレッジを提供するために作成されました。 このルールは、誤検知を最小限に抑えるように更新されました。 ただし、本番システムに適用する前に、ルールを徹底的にテストする必要があります。 テスト目的で提案されたルールをレポート専用モードに設定して、環境で競合が発生するかどうかを確認し、ブロックせずにターゲットの動作を監視できます。 ルールが正当なアプリケーションからのアクティビティをブロックしないことを確認したら、ブロックするようにルールを設定して、関連するシステムに設定を適用できます。
Rule Class: Processes
Rule {
Process {
Include OBJECT_NAME { -v "winword.exe" }
Include OBJECT_NAME { -v "excel.exe" }
Include OBJECT_NAME { -v "powerpnt.exe" }
Include AggregateMatch -xtype "switch1" {
Include DLL_LOADED -name "ieframe" { -v 0x1 }
}
Include AggregateMatch -xtype "switch2" {
Include DLL_LOADED -name "MSHTML" { -v 0x1 }
}
Include AggregateMatch -xtype "switch3" {
Include DLL_LOADED -name "urlmon" { -v 0x1 }
}
Include AggregateMatch -xtype "switch4" {
Include DLL_LOADED -name "wininet" { -v 0x1 }
}
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "control.exe" }
Include -access "CREATE"
}
}
}
2021 年 9 月 14 日、McAfee Enterprise は、CVE-2021-40444 のカバレッジを含む Network Security Platform (NSP) 用の新しい
Network Security シグネチャ セット (10.8.25.1) をリリースしました。 詳細については、
KB94886 - 登録済み - Network Security シグネチャ セット リリース情報 (10.8.25.1) を参照してください。
注: 参照されているコンテンツは、ログインしているサービスポータル ユーザーのみ使用できます。 コンテンツを表示するには、リンクをクリックし、プロンプトが表示されたらログインします。
HIGH - HTTP: Microsoft MSHTML Remote Code Execution Vulnerability (CVE-2021-40444) (0x45299800):Exploit:
このアラートは、Microsoft Office ドキュメントのリモート コード実行の脆弱性を悪用しようとしていることを示しています。 このアラートでは、HTTP 応答機能を有効にする必要があります。 HTTP 応答オプションが無効になっている場合、この攻撃は検出されません。
さらなるカバレッジの機会は現在評価されています。