Jump to content
dvz

KSWS10.1 Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости

Recommended Posts

Добрый день. Поясните пожалуйста как диагностировать такие сработки.

Модуль "Защита от эксплоитов" срабатывает на защищаемый процесс "IEXPLORE.EXE". Но сервер обновляется регулярно. Установлен октябрьский ролап. Версия IE: 11.0.9600.19155 11.0.90 (kb4462949). Что не так в защищаемом процессе ?

 

Имя события        Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости
Важность:        Критическое событие
Программа:        Kaspersky Security 10.1 для Windows Server
Номер версии:        10.1.0.622
Название задачи:        
Устройство:        xxxxxxxx
Группа:        App
Время:        12.11.2018 11:06:14
Имя виртуального Сервера:        
Описание:        Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости. Причина: исполняемые страницы в стеке. Имя объекта: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE

и вот:

Имя события        Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости
Важность:        Критическое событие
Программа:        Kaspersky Security 10.1 для Windows Server
Номер версии:        10.1.0.622
Название задачи:        
Устройство:        xxxxxxxx
Группа:        App
Время:        12.11.2018 10:17:50
Имя виртуального Сервера:        
Описание:        Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости. Причина: попытка загрузки запрещенного модуля. Имя объекта: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE

 

 

Share this post


Link to post

Здравствуйте,

3 часа назад, dvz сказал:

Причина: попытка загрузки запрещенного модуля. Имя объекта: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE

Вот с этим можно побороться. Посмотрите в настройках Exploit Prevention - там для IEXPLORE.EXE задано, загрузка каких модулей является потенциальной уязвимостью. Наверняка срабатывание идёт из-за загрузки туда vbscript.dll - попробуйте убрать этот модуль из списка запрещённых.

 

3 часа назад, dvz сказал:

Причина: исполняемые страницы в стеке.

А вот это какое-то более сильное колдунство. Чтобы точно дать ответ, ложное это срабатывание или нет, нам нужен дамп процесса IEXPLORE.EXE - для этого нужно сконфигурировать Exploit Prevention в режим терминирования скомпрометированных процессов, настроить на машине WER, включить в KSWS генерацию дампов и воспроизвести ситуацию. Собранный дамп передать в поддержку, а они уже заведут на нас инцидент.

Пока, как workaround, можно (после сбора дампа) отключить для IEXPLORE.EXE техники Anti ROP, чтобы не было срабатывания.

Share this post


Link to post
2 часа назад, Oleg Bykov сказал:

Здравствуйте,

Вот с этим можно побороться. Посмотрите в настройках Exploit Prevention - там для IEXPLORE.EXE задано, загрузка каких модулей является потенциальной уязвимостью. Наверняка срабатывание идёт из-за загрузки туда vbscript.dll - попробуйте убрать этот модуль из списка запрещённых.

 

А вот это какое-то более сильное колдунство. Чтобы точно дать ответ, ложное это срабатывание или нет, нам нужен дамп процесса IEXPLORE.EXE - для этого нужно сконфигурировать Exploit Prevention в режим терминирования скомпрометированных процессов, настроить на машине WER, включить в KSWS генерацию дампов и воспроизвести ситуацию. Собранный дамп передать в поддержку, а они уже заведут на нас инцидент.

Пока, как workaround, можно (после сбора дампа) отключить для IEXPLORE.EXE техники Anti ROP, чтобы не было срабатывания.

Олег, здравствуйте !

Настройки в Exploit Prevention это EMET ? Очень похоже.

Обращение к запрещенному модулю в трассировках нашел. Это Java: "C:\Program Files (x86)\Java\jre1.8.0_144\bin\jp2iexp.dll" Accessed by "XXXX\User\C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" PID(43360) Delayed : 0

Только там вердикта не обнаружил. Он должен быть ?

По второй части сработки информацию собираю.

Share this post


Link to post

По второй части сработки информацию собрал (INC000009811200).

Share this post


Link to post
35 минут назад, dvz сказал:

Настройки в Exploit Prevention это EMET ? Очень похоже.

Не EMET, наша собственная реализация. Но что похоже, отпираться не буду. :)

 

35 минут назад, dvz сказал:

Обращение к запрещенному модулю в трассировках нашел. Это Java: "C:\Program Files (x86)\Java\jre1.8.0_144\bin\jp2iexp.dll" Accessed by "XXXX\User\C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" PID(43360) Delayed : 0

Только там вердикта не обнаружил. Он должен быть ?

Это не те трассировки, нужно смотреть трассировки от kavfswh.exe. И там имени загружаемого модуля, скорее всего, не будет.

Придётся определять модуль опытным путём.

Share this post


Link to post

Тут одна из причин, появления таких сообщений.

К сожалению, руки так и не дошли, чтобы до конца разобраться с этой проблемой.

Share this post


Link to post

Добрый день. Сообщаю решение. Проблему решили в Сritical fix product core 3.

Share this post


Link to post

Core3 для 10.1.1 верно? (Просто в начале темы разговор шел про 10.1.0, а для него патч уже в районе 16). Его (их) уже куда то выложили или по запросу пока раздают?

Share this post


Link to post
2 часа назад, Welf сказал:

Core3 для 10.1.1 верно? (Просто в начале темы разговор шел про 10.1.0, а для него патч уже в районе 16). Его (их) уже куда то выложили или по запросу пока раздают?

Да, Core3 - это про 10.1.1. И Core3, и Core16 раздают пока по запросу. Но скоро выложим их в KB.

Share this post


Link to post

Внимание.

core3 для KSWS10.1.1.746 перезагружает сервер без предупреждения! поэтому будете устанавливать, будьте аккуратнее...

Я если честно не ожидал такого от серверного АВ.

Share this post


Link to post
12 минут назад, tyazhelnikov сказал:

Внимание.

core3 для KSWS10.1.1.746 перезагружает сервер без предупреждения! поэтому будете устанавливать, будьте аккуратнее...

Я если честно не ожидал такого от серверного АВ.

Здравствуйте,

Действительно, в коде инсталляции патча допустили ошибку и в случае, если какие-то файлы залочены, он выполнит перезагрузку самостоятельно. В следующем патче это будет исправлено, а чтобы избежать этого в Core3, нужно ставить его с ключом "/norestart" в командной строке msiexec.

Приносим извинения за доставленные неудобства.

Share this post


Link to post

Извинения приняты.

Только ТП могла, отправляя патч, предупреждать о таком поведении.

Share this post


Link to post

Патч успешно установлен. Сервер перезагружен. Сообщение осталось - "Выполняется уязвимый процесс: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE(9488): обнаружен факт эксплуатации уязвимости".

 

Share this post


Link to post
46 минут назад, Евгений73 сказал:

Патч успешно установлен. Сервер перезагружен. Сообщение осталось - "Выполняется уязвимый процесс: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE(9488): обнаружен факт эксплуатации уязвимости".

Здравствуйте!

Где вы желаете продолжить решение проблемы, на форуме или через CompanyAccount?

Спасибо!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.