Anti exploit
La tecnología anti exploit no está disponible en sistemas Windows ARM.
La protección anti exploit bloquea de forma automática y sin intervención del usuario en la mayor parte de los casos los intentos de explotación de vulnerabilidades de procesos instalados en el equipo del usuario.
Funcionamiento de la protección anti-exploits
Los equipos de la red pueden contener procesos de origen conocido y fiable pero con fallos de programación. Son conocidos como “procesos vulnerables” debido a que interpretan de forma incorrecta ciertas secuencias de datos que reciben del usuario o de otros procesos.
Cuando un proceso vulnerable recibe un determinado patrón de información conocido por los hackers, se produce un mal funcionamiento interno que deriva en una inyección de fragmentos de código preparados por el hacker en las regiones de memoria gestionadas por el proceso vulnerable. Un proceso así afectado recibe el nombre de “proceso comprometido”. La inyección de código provoca que el proceso comprometido ejecute acciones para las que no fue programado, generalmente peligrosas y que comprometen la seguridad del equipo.
La protección anti-exploit de Advanced EPDR detecta la inyección de código malicioso en los procesos vulnerables ejecutados por el usuario, bloqueándola mediante dos cursos de acción diferentes, dependiendo del exploit encontrado:
Bloqueo del exploit
Detecta la inyección de código en el proceso vulnerable cuando todavía no se ha completado. El proceso no llega a comprometerse y el riesgo del equipo es nulo, con lo que no requiere detener el proceso afectado ni reiniciar el equipo de usuario. No implica pérdida de información por parte del proceso afectado.
El usuario puede recibir una notificación del bloqueo dependiendo de la configuración establecida por el administrador.
Detección del exploit
Detecta la inyección de código en el proceso vulnerable cuando ya se ha producido. Debido a que el proceso vulnerable ya contiene el código malicioso, es imperativo cerrarlo antes de que ejecute acciones que puedan poner en peligro la seguridad del equipo.
Independientemente del tiempo transcurrido desde la detección hasta el cierre del proceso Advanced EPDR considera en riesgo el equipo, aunque su cuantificación depende del tiempo transcurrido en cerrar el proceso afectado y del diseño del malware. Advanced EPDR puede cerrar el proceso de forma automática para minimizar los efectos adversos, o delegar en el usuario la decisión, pidiéndole permiso de forma explícita para descargarlo de la memoria.
Si el administrador ha configurado el cierre automático para minimizar la posibilidad de efectos adversos, el usuario puede sufrir la pérdida de información manejada por el proceso afectado. Si, por el contrario, el administrador ha delegado en el usuario la decisión, el usuario podrá retrasar el cierre de la aplicación y minimizar la posibilidad perdida de información.
En los casos en que no sea posible cerrar el proceso afectado se pedirá permiso al usuario para reiniciar el equipo completo.
Configuración de la detección anti - exploits
-
Anti-exploit: habilita la protección contra exploits.
-
Inyección avanzada de código: detecta mecanismos avanzados de inyección de código en procesos en ejecución.
| Campo | Descripción |
|
Notifica en la consola Web la detección del exploit, pero no toma acciones contra él ni informa al usuario del equipo. |
|
|
Bloquea los ataques de tipo exploit. Puede requerir el cierre del proceso afectado por el exploit.
|
|
Dado que muchos exploits continúan ejecutando código malicioso hasta que no se produce el cierre del proceso, la incidencia no se marcará como resuelta en el panel de elementos maliciosos y exploit de la consola Web hasta que el programa haya sido cerrado.