Microsoft lança recomendações de regra de bloqueio

Traduzido e adaptado de “Microsoft recommended block rules

No último mês, a Microsoft divulgou uma lista de aplicativos que um atacante poderia utilizar para contornar o controle de aplicativos do Windows Defender.

A menos que seu cenário de uso exija a utilização de um deles, a Microsoft recomenda o bloqueio dos seguintes aplicativos:

  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe[1]
  • cdb.exe
  • csi.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • kd.exe
  • ntkd.exe
  • lxssmanager.dll
  • msbuild.exe[2]
  • mshta.exe
  • ntsd.exe
  • rcsi.exe
  • system.management.automation.dll
  • windbg.exe
  • wmic.exe

Esses aplicativos ou arquivos podem ser utilizados por um invasor para contornar as políticas de whitelisting de aplicativos, incluindo o Windows Defender Application Control.

[1] Uma vulnerabilidade no bginfo.exe foi corrigida na última versão 4.22. Se você usa o BGInfo, por segurança, baixe e execute a última versão aqui BGInfo 4.22 . Observe que as versões do BGInfo anteriores a 4.22 ainda estão vulneráveis e devem ser bloqueadas.

[2] Se você estiver usando seu sistema de referência em um contexto de desenvolvimento e usar o msbuild.exe para criar aplicativos gerenciados, a Microsoft recomenda que você adicione whitelist msbuild.exe às suas políticas de integridade de código. No entanto, se o seu sistema de referência é um dispositivo de usuário final que não está sendo usado em um contexto de desenvolvimento, recomendam que você bloqueie o msbuild.exe.

Determinados aplicativos de software podem permitir que códigos adicionais sejam executados por design. Esses tipos de aplicativos devem ser bloqueados pela sua política de controle de aplicativos do Windows Defender. Além disso, quando uma versão do aplicativo é atualizada para corrigir uma vulnerabilidade de segurança ou um possível desvio do Windows Defender Application Control, você deve adicionar regras de negação às políticas do WDAC para as versões anteriores e menos seguras do aplicativo.

A Microsoft recomenda que você instale as atualizações de segurança mais recentes. As atualizações do Windows de junho de 2017 resolvem vários problemas nos módulos do PowerShell que permitiram que um invasor ignorasse o Controle de aplicativos do Windows Defender. Esses módulos não podem ser bloqueados por nome ou versão e, portanto, devem ser bloqueados por seus hashes correspondentes.

Para outubro de 2019, estão anunciando uma atualização para system.management.automation.dll na qual estão revogando versões antigas por valores hash, em vez de regras de versão.

A Microsoft recomenda que você bloqueie os seguintes aplicativos assinados pela Microsoft e arquivos do PowerShell mesclando a seguinte política na diretiva existente para adicionar essas regras de negação usando o cmdlet Merge-CIPolicy. A partir da atualização de qualidade de março de 2019, cada versão do Windows exige o bloqueio de uma versão específica dos seguintes arquivos:

    • msxml3.dll
    • msxml6.dll
    • jscript9.dll

Escolha a versão correta de cada .dll para a versão do Windows que você pretende suportar e remova as outras versões.

Confira mais detalhes aqui.