Firma de vulnerabilidad personalizada para identificar clientes Windows XP
Resolution
A partir del 8 de abril de 2014, Microsoft abandonó formalmente el soporte para el sistema operativo Windows XP. Esta moratoria de soporte significa que Microsoft ya no proporcionará actualizaciones de software para Windows XP. Estas actualizaciones de software con frecuencia corrigen vulnerabilidades de seguridad que podrían conducir a un compromiso del sistema si no se abordan. Si bien la mayoría de las empresas han estandarizado en versiones más recientes de Windows, a menudo sigue siendo una base instalada considerable de Windows XP. Es posible que muchas empresas no sean conscientes de la cantidad de dispositivos Windows XP remanentes en su entorno de red.
Esta firma personalizada se puede utilizar para identificar hosts de Windows XP basándose en su actividad de aplicación Web. Busca en encabezados de solicitud HTTP un campo de agente de usuario que contenga la cadena de identificador de plataforma de Windows. La acción predeterminada de esta firma es alertar. Sin embargo, esto se puede reemplazar fácilmente a usar la acción "Drop" o "RESET-Client" para bloquear los hosts de Windows XP desde aplicaciones Web a través de la plataforma de seguridad de Palo Alto Networks.
Paso 1: crear un objeto de vulnerabilidad personalizado en objetos > objetos personalizados > vulnerabilidad
Paso 2: agregar un tipo de firma estándar
Paso 3: elija el ámbito de la transacción y añada una condición y
Paso 4: seleccione el operador de coincidencia de patrones, el contexto http-req-headers y defina el siguiente patrón de coincidencia:
| Cadena |
|---|
Usuario-agente:. + Windows NT 5 \. [12] | Usuario-agente:. + Windows XP |
Paso 5: ¡ hecho!
Esta firma se puede incluir en un perfil de protección de vulnerabilidades y aplicarla a la regla en su política de seguridad. Si los hosts de Windows XP inician cualquier aplicación web a través del cortafuegos, se mostrarán alertas informativas en los registros de amenazas. A continuación, se puede crear un informe personalizado que resumirá las direcciones de origen únicas que han desencadenado esta firma de vulnerabilidad.
Nota: Microsoft utiliza el identificador de plataforma "Windows NT 5,2" en el encabezado de agente de usuario para Windows XP x64 Edition y Windows Server 2003. No hay manera de diferenciar entre estas dos plataformas utilizando este método de identificación. Si desea eximir ambas plataformas de la identificación, cambie la cadena de coincidencia de patrón a la siguiente:
| Cadena |
|---|
| User-Agent:. + Windows NT 5 \. 1 | Usuario-agente:. + Windows XP |
Referencias:
- La ayuda para Windows XP para el negocio de la empresa está terminando
- FAQ de políticas de soporte del ciclo de Microsoft support
- Descripción de las cadenas de agente de usuario (Internet Explorer)
- Palo Alto Networks continuará protegiendo los sistemas basados en Windows XP
Crédito: agradecimiento especial a Arthur Chilipweli de la solución para diseñar este método de identificación y compartir su patrón de Regex.