Tắt xác nhận chữ ký để ngăn chặn khai thác lỗi

  • Created:
  • / Author: PACISOFT Help 7
Lượt xem: 212

ID bài viết kỹ thuật: KB91128

Sửa đổi lần cuối: 22/10/2020

Môi trường dữ liệu

  • McAfee Endpoint Security Threat Prevention Exploit Prevention 10.x
  • McAfee Host Intrusion Prevention Exploit Prevention 8.0

Tóm tắt

McAfee khuyên bạn nên vô hiệu hóa các chữ ký để ngăn chặn khai thác lỗi được liệt kê trong bảng bên dưới, để giảm hiện tượng cảnh báo giả, trừ khi bạn đang sử dụng chúng cho mục đích giám sát trong môi trường của mình.

Bảng sau đây mô tả các sản phẩm mà các chữ ký được hỗ trợ và kiểu phản ứng mặc định.

Sản phẩm/Môi trường
Máy chủ phòng chống xâm nhập và phòng chống

khai thác

 Phòng chống

khai thác mối đe dọa bảo mật đầu cuối
ID Hỗ trợ Loại phản ứng mặc định Hỗ trợ Loại phản ứng mặc định
1148 Tắt Không Không áp dụng
6015 Tắt

Tắt

Bảng sau cung cấp thông tin chi tiết về lý do tại sao McAfee khuyên bạn nên vô hiệu hóa các chữ ký này.

ID Tên chữ ký Đề nghị
1148 Công cụ CMD truy cập bằng ứng dụng nhận thức mạng Tắt chữ ký này.

Chữ ký này đã lỗi thời vì trình quét chống vi-rút McAfee hiện có chặn mọi hoạt động phần mềm độc hại mà nó có thể nhận dạng.
6015 Lệnh hàm đáng ngờ – Địa chỉ mục tiêu không khớp Tắt chữ ký này.

 

McAfee đã nhận thấy sự gia tăng gần đây trong các ứng dụng và phần mềm chuyển sang biên dịch Just-In-Time, trong đó Signature 6015 có thể tạo ra các kết quả cảnh báo giả.

 

Chữ ký 6015 là một biến thể đặc biệt của chữ ký ngăn chặn khai thác an ninh đầu cuối. Nó bổ sung thêm một lớp bảo vệ dự phòng, chống lại tràn bộ đệm và khai thác hỏng bộ nhớ vì có sẵn các chữ ký ngăn chặn khai thác chung và lỗ hổng khác. Các chữ ký tràn bộ đệm chung sau đây có thể bắt chước bất kỳ hành vi khai thác nào như vậy, trước đó trong vòng đời khai thác:

·     428 – Tràn bộ đệm chung

·     6012 – Gọi hàm đáng ngờ – Quay lại API

·     6013 – Gọi hàm đáng ngờ – Không tìm thấy CALL

·     6014 – Gọi hàm đáng ngờ – Địa chỉ trả về không đọc được

Nếu các chữ ký này được bật, chữ ký 6015 có thể bị vô hiệu hóa mà không ảnh hưởng đến bảo mật.

Để tắt chữ ký ngăn chặn khai thác:

  • Sử dụng bảng điều khiển ePolicy Orchestrator (ePO):
  1. Mở danh mục chính sách, chọn tính năng ngăn chặn đe dọa bảo mật đầu cuối và tìm chính sách bạn muốn thay đổi
  2. Chỉnh sửa chính sách. Tất cả các chữ ký được liệt kê dưới cshữ ký.
  3. Tìm chữ ký và thực hiện các thay đổi cần thiết.
  4. Nhấp vào để lưu.
  • Sử dụng bảng điều khiển bảo mật đầu cuối:
  1. Nhấp vào tính năng ngăn chặn đe dọa, nhấp vào hiển thị nâng cao và điều hướng đến ngăn chặn khai thác.
  2. Tìm chữ ký và thực hiện các thay đổi cần thiết.
  3. Nhấp vào áp dụng.

Trân trọng cám ơn quý độc giả.

Biên dịch Lê Toản – Help.pacisoft.com

Tagged: