Defendendo-se contra a CVE-2015-1769: uma questão lógica explorada através de malware em um USB stick
Por swiat
Esta semana, a Microsoft lançou a atualização MS15-085 que remedia a CVE-2015-1769, uma gravidade importante em questão de segurança no Gerenciador de Montagem (Mount Manager). Ela afeta tanto as versões de cliente e servidor, desde o Windows Vista até o Windows 10.
O objetivo deste blog é o de fornecer informações sobre a detecção e diretrizes para ajudar a detectar as tentativas de explorar esta questão.
Orientação Detecção
Como parte da atualização, estamos também estamos fornecendo um log de eventos para ajudar os defensores a detectarem as tentativas de usar esta vulnerabilidade em seus sistemas. O log de eventos será disparado toda vez que um USB com malware que carrega esta vulnerabilidade seja montado no sistema. Se um evento é registrado, significa que tentaram explorar a vulnerabilidade, e é então bloqueada. Assim, uma vez que a atualização é instalada, a auditoria de eventos nos logs será capaz de usar isto como mecanismo de detecção.
Esse evento está registrado no canal de "Sistema" e é relatado como um erro.
Nota: Vários eventos podem ser criados para única tentativa de exploração.
Depois de instalar a atualização, as tentativas de exploração irão resultar no evento (ID:100) gerado com MountMgr ou Microsoft-Windows -MountMgr, como origem. O CVE associado a esta vulnerabilidade também será registrado para referência futura. Note que este código de erro também pode ser conectado a outras circunstâncias extremamente raras. Assim, enquanto há uma pequena chance de que este registro de eventos poderia ser gerado em cenários bem-intencionados, há uma alta probabilidade de que uma tentativa de exploração é a causa do evento.
- Axel Sachet, Vishal Chauhan do MSRC, grupo de vulnerabilidades e atenuações