Ankündigung

Einklappen
1 von 2 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
2 von 2 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
Mehr anzeigen
Weniger anzeigen

Attack: Data Execution Protection - Execution of Non-Executable Memory

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Attack: Data Execution Protection - Execution of Non-Executable Memory

    Hi zusammen

    Seit dieser Woche bekommt ein Mitarbeiter diese Meldung von SEP, wenn er in einem Mail auf einen Link ins Intranet klickt, welcher im IE geöffnet wird. Kopiert er den Link über die Zwischenablage in den IE erscheint keine Meldung.

    Worauf deutet dies? In den Protokollen von SEP finde ich nichts.

    Danke für ein Feedback

    Windows10 mit SEP 14.0.3897.1101

    #2
    Hier gibt es Infos zur Funktionsweise. Bitte auch ganz unten auf der Seite die Hinweise zum Handling beachten.

    https://techdocs.broadcom.com/us/en/...d53e13441.html
    Zuletzt geändert von uspange; 31.12.2020, 15:21.

    Kommentar


      #3
      Hallo Ulf,
      danke für den Link. Wir haben bei uns die Standard Memory Exploit Mitigation Policy aktiviert ohne Einstellungen modifiziert zu haben. Was mich hier wundert ist, dass diese Meldung lediglich auf einem PC gemeldet wird und auch nur wenn der Link geklickt wird. Wo finde ich denn unter den Logs die Protokolle? Und was empfiehlst Du mir?

      Danke

      Kommentar


        #4
        Die Logs werden auf dem Client ins Security Log geschrieben, auf dem Manager ins Memory Exploit Mitigation Log.

        Die DEP Policy in SEP stellt lediglich sicher, dass die in Microsoft Integrierte DEP nicht deaktiviert werden kann um dann Angriffe, z. B. Buffer Overflow auszuführen:

        Exploit attacks usually insert their malicious executable code (called shellcode) into the stack memory (using the buffer overflow) or heap memory (using heap spraying). The exploit then hijacks the flow of execution towards these locations. To mitigate this attack, Windows XP SP2 and later includes data execution prevention (DEP), a system-level protection that marks these memory locations as non-executable. However, the problem is that this feature can be turned off using a SetProcessDEPPolicy() API call. Additionally, for a process to be protected with DEP, it should be compiled with the /NXCOMPAT switch. The ForceDEP technique prevents DEP from being turned off, even on those programs that are not compiled with that switch.
        Mit den Einstellungen in MEM kannst du folgende Dinge tun:
        • Ändern, wie die alle Richtlinien auf alle Applikationen wirken
        • Ändern, wie eine bestimmte Richtlinie auf eine bestimmte Applikation wirkt
        • Schutz für eine bestimmte Applikation an- oder ausschalten
        Ist denn in deinem Fall eine Anwendung zum Schutz von SEP geschlossen worden oder kam nur die Meldung aus deinem Screenshot?

        Kommentar


          #5
          Hallo Ulf,
          danke für Dein Feedback. Hab die entsprechenden Protokolle finden können. Von allen Rechnern habe ich jedoch nur von ihm die entsprechenden Meldungen, die LOG-Datei habe ich angefügt.

          Was meinst Du denn woher kommt dies, tritt nur auf wenn er einen Link in Outlook mit dem IE öffnet. Kopiert er den Link über die Zwischenablage passiert hier nichts derartiges.

          Es kam die Meldung und der IE wurde geschlossen.

          Lieber Gruss aus der Schweiz

          Kommentar


            #6
            Hi Gerd, ich habe dein Attachment wieder gelöscht, es waren Rechnernamen, IPs und Benutzernamen enthalten. Bitte überprüfe doch mal den Hash des IE auf der Maschine des betroffenen Benutzers und ob sich die laufenden Prozesse von einem anderen Rechner unterscheiden. Auf einem anderen Rechner tritt das Problem nicht auf?

            Starte außerdem mal einen Powereraser Scan mit Rootkit-Erkennung und gehe den Hinweisen im Power Eraser Scan nach.

            Kommentar


              #7
              Hallo Ulf,
              ich muss den Benutzer erreichen ...

              Nein auf anderen Rechnern gab es diese Meldung nicht. Und echt komisch siehe oben, passiert nur bei Link klicken in Outlook.

              lieber Gruss

              Kommentar

              Lädt...
              X