False Positives: Sophos meldet MS-IP 209.197.3.8 als C2-Attacke, Fehlalarme bei weiteren Virenscannern

Sicherheit (Pexels, allgemeine Nutzung)Ich kippe mal einen schnelle Information hier im Blog ein. Administratoren einer Firewall von Sophos laufen ggf. in das Problem, dass IP-Adressen von Microsoft (Windows Update) als C2-Angriff gemeldet und geblockt werden. Zudem scheint es auch von  weiteren Virenscannern am heutigen 22. Juni 2023 einige "Fehlalarme" zu geben bzw. gegeben zu haben. Grund ist wohl die Signatur einer alten Schwachstelle, die jetzt die Fehlalarme auslöst. Hier eine kurze Übersicht.


Anzeige

Sophos-Firewall Fehlalarme

Ein Blog-Leser hat mich gerade über eine private Nachricht auf Facebook informiert (danke dafür), dass bei ihm die Sophos Firewall Amok läuft und schrieb dazu.

Guten Morgen Born,

neue Infos, aber nicht schlimm.

Seine Sophos Firewall meldet eine Microsoft IP als C2-Attacke (C2 steht hier für Command & Control, also eine Gegenstelle die Befehle entgegen nehmen und für den Angriff neue Schadsoftware bereitstellen kann).

Der Leser hat den Fall heute morgen gehabt. Dieser Sachverhalt wird auch in der Sophos Community diskutiert. Der Leser hat mir nachfolgendes Foto des Bildschirms zukommen lassen, welches die Alarme (C2-Generic-A) der Sophos Firewall bei der IP-Adresse 209.197.3.8 zeigt.

Sophos-Firewall Fehlalarme

In der Sophos Community findet sich der Thead ATP alerts for 209.197.3.8 dazu, der die gleiche IP-Adresse angibt. Der Betroffene schreibt dazu:

ATP alerts for 209.197.3.8

We are receiving ATP alerts because our machines are trying to access Windows update at 209.197.3.8. They've been hitting that IP for months, but the alerts just started.

Is this a false positive?

Zu Deutsch: Der Betroffene bekommt von seiner Sophos-Firewall ATP-Warnungen (wobei das ATP für Advance Thread Protection steht). Die Sophos Firewall bemängelt, dass die betroffenen Maschinen Windows Update an der angegebenen IP-Adresse zu kontaktieren versuchen. Zugriffe dieser IP-Adresse gibt es schon seit Monaten, aber die Warnmeldungen der Sophos Firewall haben gerade erst begonnen. Der Nutzer fragt, ob dies vielleicht ein Fehlalarm sein könne (false positive)

Das Bild wurde von mehreren Kunden bestätigt. Inzwischen gibt Sophos als Reaktion an, die ATP-Signaturen aktualisiert zu haben, so dass diese IP nicht mehr bemängelt wird. War jemand betroffen?

Weitere Scanner schlagen an

Gestern hatte ich im Beitrag 7-Zip 23.01 veröffentlicht; Virenscanner haben Fehlalarm erwähnt, dass der Microsoft Defender einige Stunden einen Fehlalarm beim Tool 7-Zip auslöste. Leser JoBar hat sich mit folgendem Kommentar gemeldet (danke dafür).


Anzeige

Updates für Defender (u.a. Microsoft-Stuff) könnten allerdings aktuell Probleme bekommen:

Bei uns schrillten heute Morgen die Alarmglocken

"Advanced Threat Protection:
A threat has been detected in your network

The source IP/host listed below was found to communicate with a potentially malicious site outside your company"

und die entsprechende IP war 209(.)197(.)3(.)8 -> ReverseDNS ctldl(.)windowsupdate(.)com

Diese scheinen laut VirusTotal momentan ein Haufen Scanner zu blacklisten.

Es ist die gleiche IP genannt, die auch in obigen Sophos Firewall-Alarm auftaucht. Ich gehe von einem Fehlalarm aus.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu False Positives: Sophos meldet MS-IP 209.197.3.8 als C2-Attacke, Fehlalarme bei weiteren Virenscannern

  1. Fritz sagt:

    Ja, bei uns zwischen gestern 22 Uhr und heute früh 4 Uhr etliche blockierte Verbindungen (vermutlich während automatischem Mailversand).
    Äußert sich genau so wie im Bildschirmfoto oben. Inzwischen ist der Spuk vorbei.

  2. Ralph D. Kärner sagt:

    Sowohl auf der SG Daheim, als auch auf den SG HA-Clustern hier im Haus keinerlei Probleme.

  3. Herbi Meier sagt:

    Der Screenshot stammt von einer UTM…..UTM wird von Sophos sozusagen nicht mehr weiterentwickelt… XG bei uns haben keine Probleme heute.

  4. Gero sagt:

    Neue Features kommen keine mehr, ja. Aber XG ist trotzdem weiterhin im Support und bekommt auch Updates!

    • JohnDoe sagt:

      Und die XG ist auch klar die Bessere Firewall und wäre auch das "bessere" Konzept für den Centralized Security-Kram gewesen…. aber wenn das Marketing Entscheidungen fällt, kommt da selten was "sicheres" bei raus….

    • Blubmann sagt:

      Naja bis 2026, dann ist die UTM EoL, aber dann hat das System auch ausgedient, auch wenn es gut war.

  5. Auch betroffen sagt:

    Ach kuck, na da bin ich ja beruhigt ;)
    Das Thema hat uns heute morgen beim Blick ins Ticketsystem erstmal Puls beschert. Gab heute morgen auch nochmal eine Ladung ATP-Alarme unserer UTM wegen Zugriffen auf die Google-DNS-Server 8.8.8.8 und 8.8.4.4 – seitdem ist alles wieder ruhig.

    (Danke für dein Engagement hier, Günter. Du bist täglich eine wertvolle Quelle.)

  6. Anonymous sagt:

    Ich bekomm beim Reverse Lookup aber ein anderes Ergebnis für die IP: vip0x008.map2.ssl.hwcdn.net

  7. Olli sagt:

    Schon im Mai(!) hatte hier jemand identisches mit dieser IP mit Cisco Firewalls:

    ces-safe-behind-next-public/b819c103-2cb3-4874-b46e-b375360a3bf6

    Ist also wohl eher so, dass irgendetwas in den Updates einen Alarm triggert und diese IP als schädlich einstuft. Die Einstufung wird dann zurückgespielt und die ATP-Anbieter sperren dann gleich die IP komplett. Frage wird denn diese IP "nur" für Updates benutzt, oder liegen da noch andere Sachen drauf? Wenn die IP in die Blacklists wandert kann das ja mehrere Ursachen haben.

    Wenn aber immer wieder diese IP bei unterschiedlichen Herstellern aufschlägt könnte auch MS mal hellhörig werden – ok – setzt voraus das dort jemand Hören kann :(

    • Pau1 sagt:

      Diese IP gehört zu einem Content Distributor wie an der Domain hwCDN zu vermuten ist.
      Es ist davon auszugehen, dass es da auch andere Kunden gibt. Es ist nicht auszuschließen dass da etwas anderes getriggert hat.
      Betroffen waren ja auch nicht alle Kunden, weil MS die Last natürlich verteilt.
      M.e. hat nicht MS schuld, sondern die Hersteller der ATP die wohl nicht so genau gucken wen sie da sperren.

      Der Reverse lookup bringt nur den Namen es Providers, nicht Windowsupdate.

      Das hat nichts, aber auch gar nichts mit dem Fehl alarm bei 7zip zutun. Das ist auch eine ganz andere Schadensklasse.

      Beides kann vorkommen.
      Es sitzen da halt Menschen.
      Was aber klappen muss ist die
      schnelle Fehler Korrektur.

  8. JohnRipper sagt:

    Microsoft Windows Updates sind ein Angriff auf jede funktionierende IT Infrastruktur.

  9. Anonym sagt:

    Hätte hier früher reingucken müssen um nicht einen Tag Arbeit zu verlieren (facepalm)

  10. Mike sagt:

    Reichlich Meldungen für diese IP und der Defender hat uns Freitag bis Dienstag ziemlich viel Arbeit gemacht, da er bei einem Kunden brav die .exe unseres ERP-Systems erkannt und gelöscht hat. Bis wir den Verursacher gefunden hatten (ein wenig genutzter Terminalserver, auf dem vergessen worden ist, die Sophos Server Protection zu installieren). War recht spassig

  11. Manuela Berger sagt:

    Sehr interessanter Beitrag. Vielen Dank Herr Born!

  12. Anonymous sagt:

    Auch bei uns war der Puls erstmal oben.
    Schön das es eine Erklärung gibt die erstmal den Wind aus den Segeln nimmt ;-)

  13. Sascha Bertelt sagt:

    Ja, auch betroffen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.