Kaspersky
Question

Вопрос по защите от эксплойтов KSWS 10.1.2.996

  • 24 July 2020
  • 1 reply
  • 65 views

Badge

Добрый день.

 

Стали поступать сообщения от защиты от эксплойтов 

 

Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости. Причина: попытка отключения DEP. Имя объекта: ***\EXCEL.EXE

При расследовании выяснилось, что срабатывание скорее всего на легитимный процесс. 

Вопрос в следующем: Как в ksws реализована защита от экслойтов? Если есть какой-то скрипт пишущий информацию в Excel и защита от эксплойтов стоит в режиме информирования, может ли она как-то мешать его работе?

Какой из сценариев верен: 

  1. В режиме информирования, работа процесса продолжает идти как раньше, просто поступают сообщения попытке эксплуатации уязвимости.
  2. DEP - Техника защиты от эксплойтов, внедряемая в процесс антивирусом. Из документации: Предотвращение выполнения данных - запрет исполнения произвольного кода в защищенной области памяти. И она запрещает скрипту выполняться, даже в режиме информирования, он ее пытается отключить, не может, и из-за этого приходят соответствующие сообщения. А в режиме блокировки KSWS, в дополнение к запрету еще бы и терминировал процесс excel.exe.

Спасибо.


1 reply

Userlevel 4
Badge +2

Была аналогичная проблема - в режиме информирования срабатывала защита от эксплоитов  и глушила процесс.
Помогло отключение контроля для этого процесса, а потом выпустили патч, который решил проблему.

Reply / Ответить