Aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR y WatchGuard EDR Core
La tecnología anti-exploit no está disponible en los sistemas ARM de Windows. Las funciones disponibles varían para cada plataforma. Para más información, vaya a Funciones Admitidas por Endpoint Security por Plataforma.
En los ajustes de Protección Avanzada de un perfil de ajustes de estaciones de trabajo y servidores, se habilita la protección contra la Inyección de Código. La Inyección de Código es un término general que se utiliza para referirse a los ataques que insertan código malicioso en una aplicación para que esta lo interprete o ejecute. El código malicioso suele estar diseñado para manipular el flujo de datos, lo que provoca la pérdida de confidencialidad y reduce la disponibilidad de la aplicación.
Si deshabilita la protección contra Inyección de Código, se deshabilitará en los procesos que afectan a:
- Detección de exploits e inyección de código
- IOAs avanzados
- Políticas avanzadas de seguridad que utiliza PowerShell
Recomendamos habilitar la protección contra Inyección de Código y agregar exclusiones para los procesos que puedan experimentar problemas de rendimiento o compatibilidad. También debe habilitar el interruptor Detectar Controladores con Vulnerabilidades para detectar controladores vulnerables que puedan ser explotados.
Caution: Cuando asigna WatchGuard EDR o EDR Core a una nueva cuenta y esta no tiene asignado un perfil de ajuste de estaciones de trabajo y servidores, el perfil predeterminado asignado al grupo Todos tiene deshabilitada la protección anti-exploit.
Bloqueo y Detección de Exploits
La protección anti-exploit bloquea automáticamente los intentos de aprovechar las vulnerabilidades encontradas en los procesos activos en las computadoras de los usuarios.
Las computadoras de la red pueden ejecutar procesos confiables que incluyen errores. Aunque sean legítimos, estos procesos son vulnerables porque a veces no interpretan correctamente los datos recibidos de los usuarios u otros procesos. Si un proceso vulnerable recibe datos maliciosos de un hacker, se puede producir una falla que le permite inyectar un código malicioso en áreas de la memoria que el proceso vulnerable administra. El código inyectado puede hacer que el proceso en riesgo ejecute acciones para las que no fue programado, y poner en riesgo la seguridad de la computadora.
La protección anti-exploit incluida en Endpoint Security detecta los intentos de inyectar códigos maliciosos en los procesos vulnerables ejecutados por los usuarios, y los neutraliza según el exploit detectado.
Bloqueo de Exploits
Endpoint Security detecta el intento de inyección mientras aún está en curso. Debido a que el proceso de inyección no se completa, no se compromete el proceso objetivo y no hay riesgos para la computadora. El exploit se neutraliza sin necesidad de cerrar el proceso afectado o reiniciar la computadora, y no se producen filtraciones de datos del proceso afectado. El usuario de la computadora objetivo recibe una notificación de bloqueo, según los ajustes configurados por el administrador.
Detección de Exploit
Endpoint Security detecta la inyección después de que se realiza. Debido a que el proceso vulnerable ya contiene un código malicioso, Endpoint Security debe cerrar el proceso antes de realizar acciones que puedan poner en riesgo la seguridad de la computadora. Independientemente del tiempo entre la detección de exploits y el cierre del proceso que está en riesgo, Endpoint Security informa que la computadora estaba en riesgo. El nivel de riesgo depende del tiempo que transcurra antes de que se detenga el proceso y del tipo de malware.
Endpoint Security puede cerrar automáticamente un proceso comprometido para minimizar los efectos negativos de un ataque, o puede solicitar al usuario que cierre el proceso y lo elimine de la memoria. Esto permite al usuario guardar trabajo o información crítica antes de que el proceso comprometido se cierre o la computadora se reinicie. Si no es posible cerrar un proceso comprometido, se solicita al usuario que reinicie la computadora.
Bloqueo de Controladores Vulnerables
Los controladores vulnerables son aquellos que presentan vulnerabilidades que han sido explotadas en el panorama de amenazas. Esto puede incluir controladores desactualizados que contienen brechas de seguridad.
Los controladores suministrados por proveedores legítimos pueden contener vulnerabilidades que el malware podría aprovechar para infectar una computadora o desactivar el software de seguridad. Estos controladores no son maliciosos en sí mismos y podrían instalarse en las computadoras sin suponer una amenaza para la seguridad. Por lo tanto, inicialmente no se detectan como malware. La protección anti-exploit bloquea el uso de controladores vulnerables, excepto cuando el controlador se carga al iniciar el sistema operativo.
Configurar la Protección Anti-exploit (Computadoras con Windows)