Непонятно с терминированием процесса

[drALEX]

Добрый день.

В Событиях сервера ( Kaspersky Security для Windows Server 11.0.0.480) стали появляться записи вида: Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: попытка загрузки запрещенного модуля. Имя объекта: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE. Пользователь: xxx

Применил задачу Поиск уязвимостей и требуемых обновлений, результаты показали, что на сервере нет уязвимостей софта и неустановленных обновлений Windows.

Каким образом можно определить проблемный модуль?

 

Спасибо!

[Demiad]

Добрый день.

Проблема известна разработчикам. Я передавал им эту информацию в кейсе.

@Oleg Bykov , подскажите когда будет новый CriticalFix и решена ли в нём эта проблема?

 

Кейс “Ложный Anti AtomBombing (APC)”
Сценарий: запускаю на сервере iexplore.exe или powershell.exe, получаю событие* обнаружения эксплуатации уязвимости.

 

*Событие:

Имя события Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости
Важность: Предельный
Программа: Kaspersky Security для Windows Server
Номер версии: 11.0.0.480
Название задачи: Защита от эксплойтов
Устройство: abc
Группа: 123
Время: 25 ноября 2020 г. 15:23:07
Имя виртуального Сервера администрирования:
Описание: Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости. Причина: подозрительный вызов асинхронной функции (APC). Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe. Пользователь: aaa\bbb

[Oleg Bykov]

Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: попытка загрузки запрещенного модуля. Имя объекта: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE. Пользователь: xxx

 

Добрый день. В настройках Exploit Prevention для процесса IExplore.exe по умолчанию указан список модулей, запрещённых к загрузке - в частности, это модули скриптовых движков типа vbscript.dll. Тем не менее, некоторые сайты построены так, что для их просмотра требуются эти модули. В этом случае нужно убрать такие модули из списка, если вы уверены, что эти сайты не вредоносные.

К сожалению, в текущей версии KSWS нет технической возможности показать имя сработавшего модуля в событии. Можно выяснить этот модуль только перебором - или очистить весь список запрещённых модулей для IExplore.exe.

 

[BBOYMIG]

@Demiad , а есть сроки по которым будет ясно, когда сделают расширенные логи?

Сейчас версия 11.0.0.480 (core 3)

По трассировкам можно будет понять, какую библиотеку надо удалить?

[Demiad]

@BBOYMIG , этот вопрос к @Oleg Bykov . Могу только пояснить, что Олег говорил про указание на имя модуля в тексте событий (то есть вы сами прочитаете), а не в трассировках (которые для разработчиков и поддержки ЛК).

P.S. В CompanyAccount можно запросить новый патч CriticalFix 4.