Advisory: allarmi BOP (Buffer Overflow Protection) e HIPS inaspettati dopo l'installazione del plugin G-Buster per l'esecuzione di operazioni bancarie sicure

  • ID dell'articolo: 118656
  • Aggiornato il: 17 ott 2014

Problema

Dopo l'installazione del plugin di Gas Technologia G-Buster (noto anche come "Banco do Brasil G-buster plugin", "Santander G-buster plugin" o "Banco Itaú Unibanco Setup" e GPLUGIN), all'avvio di Internet Explorer vengono registrati allarmi di buffer overflow (BOP), oltre che venire generati allarmi HIPS in Explorer.exe. Ciò può riguardare anche i file eseguibili di applicazione di Microsoft Office.

Esempio di voce SAV.TXT:

Process "C:\Windows\explorer.exe" mostra il comportamento sospetto "Buffer Overflow".

Process "C:\Windows\explorer.exe"mostra il comportamento sospetto "HIPS/ProcInj-002".

Riscontrato per la prima volta in

Sophos Anti-Virus for Windows 2000+

Causa

Il plugin G-Buster ha caratteristiche in comune con il buffer overflow Ret2LibC. Gli allarmi HIPS vengono invece generati quando il plugin carica hook in Explorer.exe.

Procedura

È possibile che vengano ricevuti uno dei due, o entrambi i tipi di allarme.

Allarmi di buffer overflow (BOP)

  • Il problema relativo al rilevamento di BOP è stato risolto da Gas Technologia. Contattare il proprio provider di servizi bancari e richiedere la versione aggiornata di G-Buster in cui è stato risolto questo problema. Si dovrebbe trattare della versione 4.0.1.1 o successiva (il numero di versione potrebbe variare per le diverse edizioni di G-Buster).
  • Se non si riesce ad ottenere la versione più recente di questo prodotto, è possibile disabilitare l'opzione "Rileva buffer overflow" in modo tale da evitare che vengano generati ulteriori allarmi; è altrimenti possibile passare ad "Avvisa solo, non bloccare",  in modo tale da continuare a ricevere gli allarmi senza bloccare il normale funzionamento dell'applicazione.

Allarmi HIPS

  • Il problema relativo agli allarmi HIPS è al momento in fase di investigazione da parte di entrambe le parti coinvolte. Come soluzione temporanea (solo in situazioni considerate "business critical"), è possibile autorizzare, nella console di Sophos, i processi "IExplore.exe" e "Explorer.exe", in modo da evitare la ricezione di ulteriori allarmi. 

Nota: è necessaria estrema cautela quando si disabilitano funzionalità di protezione e si autorizzano processi; l'autorizzazione delle applicazione impedisce, infatti, il rilevamento di HIPS, mentre la disabilitazione di BOP porterà a non rilevare più eventi di buffer overflow nei computer endpoint.

Si consiglia caldamente di modificare le impostazioni dei criteri solo nei computer che hanno rilevato i problemi qui descritti.

 
Per maggiori informazioni o per assistenza, vi preghiamo di contattare il supporto tecnico.

Valutate l'articolo

Molto scadente Eccellente

Commenti