Вопрос по защите от эксплойтов KSWS 10.1.2.996

[Hydrargyrum]

Добрый день.

 

Стали поступать сообщения от защиты от эксплойтов 

 

Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости. Причина: попытка отключения DEP. Имя объекта: ***\EXCEL.EXE

При расследовании выяснилось, что срабатывание скорее всего на легитимный процесс. 

Вопрос в следующем: Как в ksws реализована защита от экслойтов? Если есть какой-то скрипт пишущий информацию в Excel и защита от эксплойтов стоит в режиме информирования, может ли она как-то мешать его работе?

Какой из сценариев верен: 

1. В режиме информирования, работа процесса продолжает идти как раньше, просто поступают сообщения попытке эксплуатации уязвимости.
2. DEP - Техника защиты от эксплойтов, внедряемая в процесс антивирусом. Из документации: Предотвращение выполнения данных - запрет исполнения произвольного кода в защищенной области памяти. И она запрещает скрипту выполняться, даже в режиме информирования, он ее пытается отключить, не может, и из-за этого приходят соответствующие сообщения. А в режиме блокировки KSWS, в дополнение к запрету еще бы и терминировал процесс excel.exe.

Спасибо.

[Aigir]

Была аналогичная проблема - в режиме информирования срабатывала защита от эксплоитов  и глушила процесс.
Помогло отключение контроля для этого процесса, а потом выпустили патч, который решил проблему.

[Владимир_СВ]

как решили данную проблему?

у меня при открытии офиса выдает касперский Событие "Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости"

и KICS и KSWS. И на ХП и на WS2008...

[Demiad]

@Владимир_СВ, добрый день.

Здесь нет универсального решения. Требуется разобраться в ситуации. Обратитесь с запросом в поддержку для анализа проблемы.