McAfee conoce la reciente vulnerabilidad de Windows CryptoAPI Spoofing (CVE-2020-0601). Tenemos tecnología en desarrollo para detectar la vulnerabilidad y actualmente estamos realizando pruebas rigurosas de aseguramiento de la calidad y eficacia.
Recomendamos encarecidamente la implementación rápida de los parches de Microsoft lanzados el 14 de enero. Los productos de McAfee son compatibles con todas las actualizaciones lanzadas en la actualización del martes de parches de enero.
SIEM Enterprise Security Manager
SIEM tiene la capacidad de detectar intentos de explotación para esta vulnerabilidad. Cuando un cliente implementa la actualización de Windows para corregir la vulnerabilidad en CVE-2020-0601, el sistema operativo comenzará a generar un evento de Windows cuando se detecte un intento de explotación. El origen del evento será «Audit-CVE» o «Microsoft-Windows-Audit-CVE».
Se han cargado nuevas reglas en el servidor de contenido con nuevas identificaciones de firma que los clientes ahora pueden usar para crear alarmas. Los clientes pueden obtener automáticamente esta regla en su próxima actualización o pueden iniciar manualmente una actualización de la regla para actualizaciones más rápidas. Consulte Actualizaciones de la regla Los nuevos ID de firma son 43-458000010 y 43-459000010 .
Si un cliente no tiene las últimas reglas, el SIEM aprenderá automáticamente el evento y le asignará un ID de firma de 43-2978558213 o 43-3364295324, según el origen del evento que se esté utilizando.
El SIEM Microsoft Windows Content Pack versión 2.2.0 también se actualiza con una alarma preconfigurada que los clientes pueden habilitar.
Las nuevas identificaciones de firma para monitorear son:
