quarta-feira, novembro 22, 2017
Breaking News
Home » Antivirus » Habilitando o Disarm para bloquear o Sandworm no Symantec Messaging Gateway

Habilitando o Disarm para bloquear o Sandworm no Symantec Messaging Gateway

Neste Tutorial vamos mostrar como habilitar o Disarm para bloquear o Sandworm no Symantec Messaging Gateway.

O Symantec Messaging Gateway permite que as empresas protejam seu e-mail e infraestrutura de produtividade com proteção antispam e antimalware eficaz, precisa e em tempo real, proteção contra ataques direcionados, filtragem de conteúdo avançada, prevenção contra a perda de dados e criptografia de e-mail. O Messaging Gateway é simples de administrar e bloqueia mais de 99% de spams com uma taxa de menos de um em um milhão de falsos positivos. Defenda seu perímetro de e-mails e responda rapidamente às novas ameaças à mensageria com esta solução de segurança de mensageria.

O que é o Sandworm? A Microsoft reconheceu uma vulnerabilidade de dia zero crítica que permite aos agressores fazer o download do malware e instalá-lo, convencendo os usuários a abrir um documento malicioso.

Ela tem sido usada principalmente em ataques de spear-phishing, com a atividade maliciosa incluída dentro de um documento do PowerPoint.
A Symantec recomenda que os usuários mantenham suas soluções de segurança atualizadas e tenham cuidado ao abrir anexos contidos em e-mails não solicitados. A Symantec fornece proteção contra explorações de dia zero.

Para clientes que estiverem tentando interceptar ameaças no gateway, o Symantec Messaging Gateway 10.5 inclui uma tecnologia chamada Disarm, que foi criada especificamente contra esse tipo de ataque. O Disarm bloqueia o conteúdo ativo dentro do anexo do PowerPoint no e-mail de spear-phishing (supondo que o e-mail tenha chegado ao usuário), tornando o anexo inofensivo.

 

Saiba mais informações sobre o Sandworm direto do Security Response http://www.symantec.com/connect/blogs/attackers-circumvent-patch-windows-sandworm-vulnerability?aid=elq_1856&om_sem_kw=elq_7769692&om_ext_cid=biz_email_elq_836

 

Solução

O módulo Disarm da ferramenta é responsável por verificar ameaças dentro de arquivos do tipo: PDF e Office 2003, 2007 por diante.
Neste tipo de Phishing existem outras funções da ferramenta que devem contribuir para não efetuar a entrega, como por exemplo o Sender Authentication.
De qualquer forma se o domínio do Spammer estiver muito bem configurado o Disarm, ficará responsável por verificar o conteúdo do anexo e caso a ameça seja constatada, baseado em assinaturas de ameaças, o produto irá tomar as ações definidas.

Para habilitar este opção, acesse o SMG via browser, neste exemplo o endereço é https://spam.meudominio.com.br:41443 lembrando que o SMG tem que estar na versão 10.5.3

SMG-Disarm

Para uma melhor entendimento dos anexos, segue link Potentially malicious content details http://www.symantec.com/docs/HOWTO93095

Conclusão

Neste tutorial mostramos como habilitar o Disarm no Symantec Messaging Gateway para a proteção principalmente em ataques de spear-phishing e contra explorações de dia zero (Zero Day).

Sobre Rafael Bandeira de Oliveira

Rafael Bandeira de Oliveira, tem mais de 10 anos de experiência na área de TI, tendo atuado com suporte técnico e infraestrutura.
Contribuo com a Comunidade Microsoft escrevendo artigos e tutoriais no AndersonPatricio.org, PuraInfo e no meu perfil no linkedin.
Possuo as seguintes certificações: ITIL Foundation, MCP, ISO 2000 (Exin), Cloud Computing Foundation (Exin), ISO 27002 (Exin) com essas certificações da Exin + ITIL obtive o título de EXIN Certified Integrator Secure Cloud Services.
Atualmente é Analista de Infraestrutura Sênior Microsoft.

Veja também!

Reparar ID duplicados do cliente do Symantec Endpoint Protection 12.1

Neste Tutorial vamos mostrar os passos necessários para reparar id’s duplicados no Symantec Endpoint Protection. …

Este artigo lhe foi útil? comente e ajude outros acrescentando seu ponto de vista!