Sophos und die Fehlalarme der letzten Tage (April 2019)

Administratoren, die Sophos Sicherheitslösungen einsetzen, wurden möglicherweise die letzten Tage durch zahlreiche Fehlalarme genervt. Sollte jetzt behoben sein, der Grund ist auch bekannt.

Es ist nur eine kurze Information, die ich von letzter Woche nachreiche. Die Admins bekamen folgende Warnung, dass ein Thread (Sicherheitsproblem) im Netzwerk entdeckt worden sei:

<**[CRIT-861] Advanced Threat Protection Alert**
Advanced Threat Protection
A threat has been detected in your network The source IP/host listed below was found to communicate with a potentially malicious site outside your company.
Details about the alert:

Threat name....: C2/Generic-A
Details........: 
Time...........: 2019-04-04 18:49:03


(Quelle: Sophos)

Ich bin am Wochenende bei administrator.de auf diesen Post mit dem Hinweis auf die Ursache gestoßen. Das Ganze ist im Sophos-Forum beschrieben (Advisory: Sophos UTM – ATP is blocking traffic to Windows Update server (93.184.221.240)). Hintergrund war eine geblockte IP, die durch Microsoft Update verwendet wird. Sophos hat eine Aktualisierung bereitgestellt, die installiert werden sollte. War jemand betroffen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Sophos und die Fehlalarme der letzten Tage (April 2019)

  1. Christian sagt:

    Ich habe am Freitag nachmittag von diversen VM's die meldung bekommen (Server 20 r2 & Server 2016 [DC, WSUS, Exchange, Fileserver] aber auch von Debian / Ubuntu Systemen) die Meldung bekommen.

    Alle Systeme wurde am letzten Freitag in der Zeit von ca 1600 bis 1800 anmoniert.
    Danach waren die Meldungen aber obsolet. Ich habe im Sophos Support Forum auch den von die verlinkten Thread gefunden. Ab Freitag abend war alles wieder ruhig.

  2. Ja, war prickelnd, so mitten im Installieren von Updates und diversen Patches, zig Mails mit Warnungen zu erhalten :-|

  3. Mich@ sagt:

    confirmed! nervte schon ein wenig..

  4. Michael sagt:

    Ja, war superlustig. Lustigerweise hat ein daraufhin angestoßener manueller Scan auf einem System einen Virus gefunden und beseitigt ;-)

  5. Ralf sagt:

    Mich hat die Meldung am Donnerstagabend mitten beim Patchen der Server erwischt. Da sich langsam immer mehr Clients gemeldet hatten war mal kurz Panik da. Aber die IP (Edge Delivery Network) und der Download haben schnell gezeigt, was da passiert ist! Dann war die Meldung nur nervig! Im Laufe der Nacht waren die Meldungen wieder verschwunden, dank Update von Sophos! ;-)

  6. Chuck Norris sagt:

    Hier auch. Panik und ca. 1h Arbeit bis wieder Ruhe war.

  7. Thommy sagt:

    Schließe ich daraus dass es sich bei der 93.184.221.240 um einen legitimen MS-Server handelt?

    Ich hatte heute auf meiner Internetverbindung ein paar Minuten lang vollen Download und dann gesucht und svchost hatte zu dieser IP eine Verbindung. whois zeigt leider nichts von Microsoft und ein älter Post von jemand im MS-Forum wurde auch nur mit den nichts sagenden whois-Daten beantwortet:

    https://answers.microsoft.com/en-us/protect/forum/all/windowssystem32svchostexe-using-ip-9318422124080/24ed6a0f-d122-487e-bf15-e65c2bc7bb4f

  8. Nils Pütthoff sagt:

    Hab seit dem 17.09 einen sehr ähnlichen Eintrage mit Ziel: frktrk.com

    Kann mir da jemand was zu sagen?

Schreibe einen Kommentar zu Bernhard Kanduth Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.