Saiba como gerenciar a vulnerabilidade do Log4Shell no Microsoft Defender para Ponto de Extremidade
A vulnerabilidade do Log4Shell é uma vulnerabilidade de RCE (execução de código remota) encontrada na biblioteca de logs do Apache Log4j 2. Como o Apache Log4j 2 é comumente usado por muitos aplicativos de software e serviços online, ele representa uma situação complexa e de alto risco para empresas em todo o mundo. Chamado de "Log4Shell" (CVE-2021-44228, CVE-2021-45046) ele apresenta um novo vetor de ataque que os invasores podem explorar para extrair dados e implantar ransomware em uma organização.
Observação
Consulte os blogs Diretrizes para prevenir, detectar e procurar exploração da vulnerabilidade do Log4j 2 edo Centro de Resposta de Segurança da Microsoft para obter diretrizes e informações técnicas sobre as recomendações de mitigação específicas de vulnerabilidade e produto para proteger sua organização.
Visão geral das funcionalidades de descoberta, monitoramento e mitigação
O Gerenciamento de Vulnerabilidades do Defender fornece os seguintes recursos para ajudá-lo a identificar, monitorar e mitigar sua exposição organizacional à vulnerabilidade do Log4Shell:
- Descoberta: a detecção de dispositivos expostos, tanto Microsoft Defender para Ponto de Extremidade dispositivos integrados quanto dispositivos que foram descobertos, mas ainda não integrados, baseia-se em software vulnerável e arquivos vulneráveis detectados em disco.
- Conscientização contra ameaças: Uma exibição consolidada para avaliar sua exposição organizacional. Essa exibição mostra sua exposição no nível do dispositivo e no software e fornece acesso a detalhes sobre arquivos vulneráveis como, a última vez que foi visto, a última vez que foi executado e a última vez que foi executado com portas abertas. Você pode usar essas informações para priorizar suas ações de correção. Pode levar até 24 horas para que dados relacionados a dispositivos expostos apareçam no dashboard.
- Opções de mitigação: Aplique opções de mitigação para ajudar a reduzir o risco de exposição.
- Caça avançada: Use a caça avançada para retornar detalhes de arquivos log4j vulneráveis identificados em disco.
Observação
Esses recursos têm suporte em Windows 10 & Windows 11, Windows Server, Linux e macOS.
O suporte no Linux requer Microsoft Defender para Ponto de Extremidade cliente Linux versão 101.52.57 (30.121092.15257.0) ou posterior.
O suporte no macOS requer Microsoft Defender para Ponto de Extremidade cliente macOS versão 20.121111.15416.0 ou posterior.
Para obter mais informações sobre versões com suporte, consulte Plataformas e recursos de sistemas operacionais com suporte.
Descoberta de dispositivos expostos
Os recursos de Gerenciamento de Vulnerabilidades do Defender inseridos, juntamente com a habilitação da detecção do Log4j, no portal Microsoft Defender, ajudarão você a descobrir dispositivos expostos à vulnerabilidade do Log4Shell.
Os dispositivos integrados são avaliados usando os recursos existentes do Gerenciamento de Vulnerabilidades do Defender inseridos que podem descobrir softwares e arquivos vulneráveis.
Para detecção em dispositivos descobertos, mas ainda não integrados, a detecção do Log4j deve ser habilitada. Isso iniciará investigações da mesma forma que a descoberta de dispositivo investiga ativamente sua rede. Isso inclui a sondagem de vários pontos de extremidade integrados (dispositivos Windows 10+ e Windows Server 2019+ e somente sondagem em sub-redes, para detectar dispositivos vulneráveis e expostos remotamente à CVE-2021-44228.
Para habilitar a detecção do Log4:
- Acesse Configurações>Instalação de descoberta>de dispositivo.
- Selecione Habilitar a detecção do Log4j2 (CVE-2021-44228).
- Selecione Salvar.
Executar essas investigações disparará o fluxo padrão do Log4j sem causar nenhum impacto prejudicial no dispositivo que está sendo investigado ou no dispositivo de sondagem. A investigação em si é feita enviando várias solicitações HTTP para dispositivos descobertos, direcionando portas comuns de aplicativo Web (por exemplo - 80.8000.8080.443.8443) e URLs. A solicitação contém cabeçalhos HTTP com uma carga JNDI que dispara uma solicitação DNS do computador investigado.
Por exemplo, User-Agent: ${jndi:dns://192.168.1.3:5353/MDEDiscoveryUser-Agent} onde 192.168.1.3 é o IP do computador de sondagem.
Observação
Habilitar a detecção do Log4j2 também significa que os dispositivos integrados usarão a auto-sondagem para detectar vulnerabilidades locais.
Detecção de arquivos e softwares vulneráveis
O Gerenciamento de Vulnerabilidades do Defender fornece camadas de detecção para ajudá-lo a descobrir:
Software vulnerável: a descoberta é baseada em Enumerações de Plataforma Comum (CPE) instaladas que são conhecidas por serem vulneráveis à execução de código remoto do Log4j.
Arquivos vulneráveis: Os arquivos na memória e nos arquivos no sistema de arquivos são avaliados. Esses arquivos podem ser arquivos jar log4j-core com a versão vulnerável conhecida ou um Uber-JAR que contém uma classe de pesquisa jndi vulnerável ou um arquivo log4j-core vulnerável. Especificamente, ele:
- determina se um arquivo JAR contém um arquivo Log4j vulnerável examinando arquivos JAR e procurando o seguinte arquivo: \META-INF\maven\org.apache.logging.log4j\log4j-core\pom.properties - se esse arquivo existir, a versão log4j será lida e extraída.
- pesquisa o arquivo JndiLookup.class dentro do arquivo JAR procurando caminhos que contenham a cadeia de caracteres "/log4j/core/lookup/JndiLookup.class" – se o arquivo JndiLookup.class existir, o Gerenciamento de Vulnerabilidades do Defender determinará se esse JAR contém um arquivo Log4j com a versão definida em pom.properties.
- pesquisa por todos os arquivos JAR do Log4j-core vulneráveis inseridos em um JAR aninhado, procurando caminhos que contenham qualquer uma dessas cadeias de caracteres:
- lib/log4j-core-
- WEB-INF/lib/log4j-core-
- App-INF/lib/log4j-core-
Esta tabela descreve os recursos de pesquisa compatíveis com plataformas e versões:
Recursos | Tipo de Arquivo | Windows10+, server2019+ |
Server 2012R2, server2016 |
Servidor 2008R2 | Linux + macOS |
---|---|---|---|---|---|
memória Pesquisa em | Log4j-core | Sim | Sim[1] | - | Sim |
Uber-JARs | Sim | Sim[1] | - | Sim | |
Pesquisa todos os arquivos em disco | Log4j-core | Sim | Sim[1] | Sim | - |
Uber-JARs | Sim | Sim[1] | - | - |
(1) Os recursos estão disponíveis quando KB5005292 é instalado no Windows Server 2012 R2 e 2016.
Saiba mais sobre suas opções de exposição e mitigação do Log4Shell
- No portal Microsoft Defender, acesse Fraquezas de gerenciamento> devulnerabilidades.
- Selecione CVE-2021-44228.
- Selecione Abrir página de vulnerabilidade.
Mitigação de vulnerabilidades do Log4Shell
A vulnerabilidade log4Shell pode ser atenuada impedindo pesquisas JNDI nas versões do Log4j 2.10 - 2.14.1 com configurações padrão. Para criar essa ação de mitigação, a partir do dashboard de conscientização contra ameaças:
- Selecione Exibir detalhes da vulnerabilidade.
- Selecione Opções de mitigação.
Você pode optar por aplicar a mitigação a todos os dispositivos expostos ou selecionar dispositivos integrados específicos. Para concluir o processo e aplicar a mitigação em dispositivos, selecione Create ação de mitigação.
status de mitigação
O status de mitigação indica se a mitigação de solução alternativa para desabilitar pesquisas JDNI foi aplicada ao dispositivo. Você pode exibir o status de mitigação para cada dispositivo afetado nas guias dispositivos expostos. Isso pode ajudar a priorizar a mitigação e/ou o patch de dispositivos com base em seus status de mitigação.
A tabela abaixo lista os status potenciais de mitigação:
status de mitigação | Descrição |
---|---|
Solução alternativa aplicada | Windows: A variável de ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS foi observada antes da reinicialização mais recente do dispositivo. Linux + macOS: todos os processos em execução têm LOG4J_FORMAT_MSG_NO_LOOKUPS=true em suas variáveis de ambiente. |
Solução alternativa de reinicialização pendente | A variável de ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS está definida, mas nenhuma reinicialização a seguir foi detectada. |
Não aplicado | Windows: a variável de ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS não foi observada. Linux + macOS: nem todos os processos em execução têm LOG4J_FORMAT_MSG_NO_LOOKUPS=true em suas variáveis de ambiente, e a ação de mitigação não foi aplicada no dispositivo. |
Parcialmente atenuado | Linux + macOS: embora a ação de mitigação tenha sido aplicada no dispositivo, nem todos os processos em execução têm LOG4J_FORMAT_MSG_NO_LOOKUPS=true em suas variáveis de ambiente. |
Não aplicável | Dispositivos com arquivos vulneráveis que não estão no intervalo de versão da mitigação. |
Desconhecido | O status de mitigação não pôde ser determinado no momento. |
Observação
Pode levar algumas horas para que o status de mitigação atualizado de um dispositivo seja refletido.
Reverter mitigações aplicadas à vulnerabilidade do Log4Shell
Nos casos em que a mitigação precisa ser revertida, siga estas etapas:
Para Windows:
- Abra uma janela elevada do PowerShell.
- Execute o seguinte comando:
[Environment]::SetEnvironmentVariable("LOG4J\_FORMAT\_MSG\_NO\_LOOKUPS", $null,[EnvironmentVariableTarget]::Machine)
A alteração entrará em vigor após a reinicialização do dispositivo.
Para Linux:
- Abra o arquivo /etc/environment e exclua a linha LOG4J_FORMAT_MSG_NO_LOOKUPS=true
- Excluir o arquivo /etc/systemd/system.conf.d/log4j_disable_jndi_lookups.conf
- Excluir o arquivo /etc/systemd/user.conf.d/log4j_disable_jndi_lookups.conf
A alteração entrará em vigor após a reinicialização do dispositivo.
Para macOS:
Remova o setenv de arquivo. LOG4J_FORMAT_MSG_NO_LOOKUPS.plist das seguintes pastas:
- /Library/LaunchDaemons/
- /Library/LaunchAgents/
- /Users/[username]/Library/LaunchAgents/ - para todos os usuários
A alteração entrará em vigor após a reinicialização do dispositivo.
Recomendações de segurança do Apache Log4j
Para ver a recomendação de segurança ativa relacionada ao Apache log4j, selecione a guia Recomendações de segurança na página de detalhes da vulnerabilidade. Neste exemplo, se você selecionar Atualizar o Apache Log4j , verá outro flyout com mais informações:
Selecione Solicitar correção para criar uma solicitação de correção.
Explorar a vulnerabilidade no portal Microsoft Defender
Depois que dispositivos expostos, arquivos e software forem encontrados, as informações relevantes também serão transmitidas por meio das seguintes experiências no portal Microsoft Defender:
Inventário de software
Na página inventário de software, pesquise CVE-2021-44228 para ver detalhes sobre as instalações e exposição do software Log4j:
Fraquezas
Na página pontos fracos, pesquise CVE-2021-44228 para ver informações sobre a vulnerabilidade do Log4Shell:
Usar a caça avançada
Você pode usar a seguinte consulta de caça avançada para identificar vulnerabilidades no software instalado em dispositivos:
DeviceTvmSoftwareVulnerabilities
| where CveId in ("CVE-2021-44228", "CVE-2021-45046")
Você pode usar a seguinte consulta de caça avançada para identificar vulnerabilidades no software instalado em dispositivos para apresentar descobertas no nível do arquivo do disco:
DeviceTvmSoftwareEvidenceBeta
| mv-expand DiskPaths
| where DiskPaths contains "log4j"
| project DeviceId, SoftwareName, SoftwareVendor, SoftwareVersion, DiskPaths
Artigos relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de