Ankündigung

Einklappen
1 von 3 < >

On-Premise Sandboxing mit Symantec Content Analysis – Dynamic Sandboxing

Wer seine verdächtigen Dateien ohne Gefahr und ausführlich untersuchen möchte, kann dies nun über die On-Premise Sandbox mit Symantec Content Analysis – Dynamic Sandboxing machen.

https://www.niwis.com/forum/forum/bl...mic-sandboxing
2 von 3 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
3 von 3 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
Mehr anzeigen
Weniger anzeigen

Attack: Structured Exception Handler Overwrite’

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Attack: Structured Exception Handler Overwrite’

    Hallo ihr! Heute hatten wir auf einigen Rechner nach dem Live-Update ganz kurz die folgende Meldung eingeblendet:
    "Angriff ’Attack: Structured Exception Handler Overwrite’, die aber sofort wieder verschwand.
    Im Ereignisprotokoll der Rechner gibt es folgende Warnungen: "Angriff ’Attack: Structured Exception Handler Overwrite’ auf ’C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.0.3876.1100.105\Bin\ccSvcHst.exe’ erkannt. "
    Der Dienst "Symantec Endpoint Protection" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

    In der Konsole gibt es weder unter Benachrichtigungen noch unter den Risikoprotokollen irgendwelche Einträge dazu. Auch auf den Clients im Status bzw in den Logs ist nichts Auffälliges zu finden.

    Hat jemand eine Idee was die Ursache dafür sein könnte?

    #2
    Hier stehen eigentlich alle Informationen darüber.

    https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=61000

    Da hatte die Exploit Protection einen Versuch entdeckt, strukturierte Ausnahmebhandlungsadressen zu überschreiben, um Code auszuführen und der kompromittierte Prozess wurde beendet, um den Angriff zu unterbrechen und eine Infektion zu verhindern.

    Da würde ich zur Sicherheit noch einmal einen Fullscan mit aktuellen Virensignaturen durchführen. Wenn irgend etwas gefunden wird am besten einen Power Eraser Scan mit aktivierter Root Kit Erkennung durchführen.

    Kommentar


      #3
      Ja, da hatte ich auch schon nachgelesen. Es scheint schon mit der Memory Exploit Mitigation zu tun zu haben, auch die Attack Warnung passt. Aber: Die Anwendung, die blockiert werden soll ist der SEP selbst.
      C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.0.3876.1100.105\Bin\ccSvcHst.exe
      Es wird versucht, die SEP Dienste zu beenden,SEP wird dann unerwartet beendet. startet dann aber sofort wieder und der SEP ist dann wieder aktiv.
      Der Hinweis:
      "Memory Exploit Mitigation blockiert das Exploit dann weiterhin oder beendet die Anwendung, bis auf dem Clientcomputer eine Version der Software ausgeführt wird, in der die Sicherheitslücke behoben wurde."
      kann ja dann nur zutreffen, wenn ich den SEP neu installiere?

      Kommentar


        #4
        Ja, eine Neuinstallation des SEP mit einer aktuellen Version wäre auch empfehlenswert.

        Kommentar


          #5
          Bitte mal prüfen, ob es durch eine ältere MEM (IPS) Signatur aufhört:

          Click image for larger version  Name:	2019-01-15 14_04_32-Window.jpg Views:	1 Size:	52.9 KB ID:	36294

          Wir haben mehrere Kunden mit dieser Meldung, evtl. ein False Positive ...

          Weitere Infos ...
          Zuletzt geändert von uspange; 16.01.2019, 12:52.

          Kommentar


            #6
            Wir haben dazu einen Case bei Symantec eröffnet.
            Uns wurde bestätigt, dass es per Signaturupdate reinkam und diesen Fehler erzeugt. Die Entwickler sind derzeit mit Hochdruck in der Analyse. Eine Bereinigung wird wohl mit einem Signaturupdate erfolgen.
            Symantec geht derzeit auch von einer false positive Meldung aus, ist sich aber selbst nicht zu 100% sicher ...

            Kommentar


              #7
              Das Problem soll nun gefixt sein.

              "...hiermit bestätigen wir Ihnen dass die neusten IPS Definitionen die auf unsere Rapid Release Definition Webseite Verfügbar sind beheben das Problem. Es ist behoben ab der Definition 201901150.64 (momentan ist 20190115-066 shon verfugbar).
              https://www.symantec.com/security_response/definitions/download/detail.jsp?gid=ips14

              Kommentar


                #8
                Danke für Info

                Kommentar


                  #9
                  Na ein Glück, dann brauchen wir nicht weiter suchen... wir waren schon etwas ratlos. Danke für die schnelle Info!

                  Kommentar


                    #10
                    Das Problem tritt heute wieder global auf.... Symantec ist informiert...

                    Kommentar


                      #11
                      Folgende Info habe ich heute vom Symantec Support erhalten...
                      • In the evening of January 15th, Symantec noticed an increase of cases where SEP's Memory Exploit Mitigation (MEM) component is being triggered by SEP's own ccSvcHst.exe,
                      • It was then recommended as a workaround to change the MEM policy SEHOP mitigation technique in regards to the ccSvcHst.exe instances from “Default” to “Log Only”,
                      • However on the 16th of January, early morning, Symantec Security Response published IPS signature 20190115.064 which was confirmed to address the issue and prevent it from occurring again (including any later revisions), therefore making the workaround no longer needed,
                      • This new IP signatures have been confirmed by other customers to resolve the issue,
                      • In the evening of January 17th, it has been reported by a customer that the issue is still occurring on clients running the latest IPS signatures (newer than 20190115.064) as well as on clients which are not running the IPS feature itself (likely expected due to the dependency of the IPS drivers with the MEM feature), however for most customer the issue was solved with 20190115.064 signatures
                      • Symantec Security Response and Symantec Engineering teams are actively working on the matter.

                      Kommentar

                      Lädt...
                      X