PROBLEMA:
Tras la instalación del parche 4 de VirusScan Enterprise 8.8 algunos clientes han visto reportados varios eventos de detección del Módulo de Desbordamiento de Memoria (BOP). Estas alertas no se reportaban con versiones anteriores de parche de VirusScan.
Ejemplo de evento de BOP registrado:
20/02/2014 13:04:19 Bloqueado por la protección contra desbordamientos de búfer DOMAIN\User C:\Archivos de programa\Microsoft Office\Office12\EXCEL.EXE:NTDLL.KiUserExceptionDispatcher::3ba3d58 Desbordamiento de búfer:de escritura Desbordamiento de búfer:pila
Explicación de un evento de BOP registrado:
<fecha> <hora> <Acción realizada por BOP, que puede ser BLOQUEO o AVISO> <Cuenta de usuario> <Ruta del proceso de destino> :NTDLL.KiUserExceptionDispatcher::<dirección> <Tipo de desbordamiento de memoria>
Información del Dump de un proceso que ha sido bloqueado:
PRIMARY_PROBLEM_CLASS: SOFTWARE_NX_FAULT
BUGCHECK_STR: APPLICATION_FAULT_SOFTWARE_NX_FAULT
CAUSA:
La función del Módulo de Desbordamiento de Memoria utiliza ahora la funcionalidad Data Execution Prevention (DEP) para determinar si se ha producido una violación por parte de uno de los procesos incluidos en la lista de BOP. Cuando se detecta una violación, la función BOP actúa bloqueando el proceso monitorizado o bien informando sobre él.
IMPORTANTE: Estas detecciones deberían considerarse siempre como legítimas. Versiones anteriores deVSE no detectaban estas violaciones porque la funcionalidad sólo monitorizaba ciertas llamadas al API para un listado limitado de procesos. Con el parche 4 el alcance se ha ampliado y ahora todas las APIS del mismo listado limitado de procesos se monitorizan.Es por ello que las detecciones de desbordamiento de memoria pueden ser más recurrentes, especialmente cuando se utilizan aplicaciones que no tienen los últimos parches disponibles instalados.
SOLUCIÓN:
McAfee ha verificado que dichas detecciones son legítimas; el código que no se ejecuta apropiadamente intenta hacerlo en la memoria. Las acciones que se deberán tomar para estas aplicaciones son:
-
Actualizar el software a una versión más actual (recomendado)
-
Aplicar cualquier parche disponible al software existente
Si tiene alguna razón que le haga creer que las detecciones de Desbordamiento de Memoria no son legítimas póngase en contacto con McAfee para investigarlo en profundidad.
No todas las DLLs de software legítimo son compatibles con DEP. En este caso puede seguir los pasos indicados a continuación.
Aplicaciones incompatiblescon DEP que son detectadas por BOP:
-
Microsoft Office 2003 y Office XP (versión 11 o más antiguas, debido a MSO.DLL)
-
Microsoft Office 2007 (versión 12, debido a EuroTool.xlam)
-
Explorer.exe (debido a SEPCM.DLL,”SizeExplorer Pro”)
NOTA: Esta lista no abarca todas las librerías y puede ser ampliada a medida que se detecten nuevas aplicaciones con el mismo problema.
ALTERNATIVA:
Cambie la configuración de BOP:
-
Use exclusiones.
Si determina que las detecciones de BOP son consistentes del mismo proceso de confianza, puede excluir dicho proceso dentro de la configuración de BOP. Consulte la Guía de Producto de su versión de VirusScan para obtener más información.NOTA: Esta opción está recomendada para entornos en los que el software afectado no pueda ser actualizado. McAfee recomienda que utilice este método únicamente hasta que el software afectado haya sido actualizado para dejar así de ejecutar código de forma inapropiada.
-
Deshabilite la función BOP de VSE localmente o vía la consola ePO.
Información Relacionada:
El módulo de Desbordamiento de Memoria en VirusScan Enterprise es una función de protección 0-day que bloquea la ejecución de código para evitar ataques de desbordamiento de memoria.
-
La función BOP sólo se aplica a sistemas de 32 bits. Puede consultar la lista de procesos protegidos por BOP en el documento KB58007.
-
BOP sólo se aplica a unos procesos seleccionados (incluyendo a Microsoft Office).
-
Puede minimizar el riesgo de deshabilitar la Protección contra Desbordamiento de memoria asegurándose de que todos los procesos protegidos estén en el último nivel de parche disponible.
Mas información en:
https://kc.mcafee.com/corporate/index?page=content&id=KB81308&actp=null&viewlocale=es_ES
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 21 de Marzode 2014