A versão 12789 do conteúdo de prevenção de exploração causa falha nos instaladores MSI

Artigos técnicos ID: KB96486
Última modificação: 12/07/2023

Ambiente

Endpoint Security (ENS) Threat Prevention - todas as versões

Problema

Depois de atualizar o ENS para a versão de conteúdo EP 12789, os instaladores MSI assinados falham.
Ao visualizar os logs do Exploit Prevention, você verá que nenhum bloqueio foi registrado.

Causa

Embora o motivo exato seja atualmente indeterminado, uma nova assinatura (6251) foi adicionada a este lançamento de conteúdo, que bloqueia tentativas de ignorar MarkOfTheWeb anexando assinaturas digitais inválidas a arquivos MSI. A nova assinatura é desativada por padrão, mas os ganchos necessários para impor essa assinatura quando ativados são um catalisador para a falha dos instaladores MSI.

Solução

Nota: Qualquer versão ou lançamento futuro do produto mencionado na Base de conhecimentos tem como objetivo descrever nossa direção geral de produto e não deve ser confiável, seja como um compromisso, ou ao fazer uma decisão de compra.

Continuamos analisando a causa raiz e atualizações neste artigo serão fornecidas à medida que mais progresso for feito.

Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.

Solução alternativa 1

Desative a prevenção de exploração como uma etapa de isolamento para garantir que o problema não ocorra mais após a instalação da versão de conteúdo 12789.
Se o problema persistir após a desativação do Exploit Prevention, entre em contato com o suporte da Trellix e abra uma nova solicitação de serviço.

Para entrar em contato com o Suporte técnico, vá para a página criar uma solicitação de serviço e entre no ServicePortal.

Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
Se você não for um usuário registrado, clique em registrar e preencha os campos para ter sua senha e suas instruções enviadas por e-mail para você.

Se desabilitar a prevenção de exploração resolver o problema, use a seguinte solução alternativa enquanto a investigação continua para determinar a causa raiz.

Edite a política de prevenção de exploração atribuída.
Nas Regras de Proteção de Aplicativos, procure por Instalar.
Edite a regra do Microsoft Installer e defina a regra como Excluir. Como alternativa, desative a regra.
Salve e aplique a política.

Solução alternativa 2

Uma versão de conteúdo fora de banda foi fornecida para contornar o problema enquanto a investigação continua sobre a causa raiz. A versão do conteúdo é 10.6.0.12892 e está disponível a partir de 26 de abril de 2023 para download no ePO local, bem como no ePO SaaS.

O novo conteúdo pode ser baixado manualmente.

NOTA: Após a atualização para a versão de conteúdo fora de banda , a assinatura 6251 ainda aparece na configuração da política de prevenção de exploração. O conteúdo fora de banda remove a assinatura dos arquivos de conteúdo carregados pelo Exploit Prevention. A existência da assinatura que aparece na política não afeta a funcionalidade do produto.

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Produtos afetados

Idiomas:

Este artigo está disponível nos seguintes idiomas:

Knowledge Center

A versão 12789 do conteúdo de prevenção de exploração causa falha nos instaladores MSI

Ambiente

Problema

Causa

Solução

Solução alternativa 1

Solução alternativa 2

Aviso de isenção de responsabilidade

Produtos afetados

Idiomas:

Title

Title

Knowledge Center

A versão 12789 do conteúdo de prevenção de exploração causa falha nos instaladores MSI

Ambiente

Problema

Causa

Solução

Solução alternativa 1

Solução alternativa 2

Aviso de isenção de responsabilidade

Produtos afetados

Idiomas:

Escolha a sua região

Title

Title