Defendendo-se contra a CVE-2015-1769: uma questão lógica explorada através de malware em um USB stick

Por swiat 

 

Esta semana, a Microsoft lançou a atualização MS15-085 que remedia a CVE-2015-1769, uma gravidade importante em questão de segurança no Gerenciador de Montagem (Mount Manager).  Ela afeta tanto as versões de cliente e servidor, desde o Windows Vista até o Windows 10.

O objetivo deste blog é o de fornecer informações sobre a detecção e diretrizes para ajudar a detectar as tentativas de explorar esta questão.

 

Orientação Detecção

Como parte da atualização, estamos também estamos fornecendo um log de eventos para ajudar os defensores a detectarem as tentativas de usar esta vulnerabilidade em seus sistemas. O log de eventos será disparado toda vez que um USB com malware que carrega esta vulnerabilidade seja montado no sistema. Se um evento é registrado, significa que tentaram explorar a vulnerabilidade, e é então bloqueada. Assim, uma vez que a atualização é instalada, a auditoria de eventos nos logs será capaz de usar isto como mecanismo de detecção. 

Esse evento está registrado no canal de "Sistema" e é relatado como um erro. 


Nota: Vários eventos podem ser criados para única tentativa de exploração.

Depois de instalar a atualização, as tentativas de exploração irão resultar no evento (ID:100) gerado com MountMgr ou Microsoft-Windows -MountMgr, como origem. O CVE associado a esta vulnerabilidade também será registrado para referência futura. Note que este código de erro também pode ser conectado a outras circunstâncias extremamente raras. Assim, enquanto há uma pequena chance de que este registro de eventos poderia ser gerado em cenários bem-intencionados, há uma alta probabilidade de que uma tentativa de exploração é a causa do evento.

– Axel Sachet, Vishal Chauhan do MSRC, grupo de vulnerabilidades e atenuações

 

Original:  http://blogs.technet.com/b/srd/archive/2015/08/11/defending-against-cve-2015-1769-a-logical-issue-exploited-via-a-malicious-usb-stick.aspx