Ankündigung

Einklappen
1 von 3 < >

On-Premise Sandboxing mit Symantec Content Analysis – Dynamic Sandboxing

Wer seine verdächtigen Dateien ohne Gefahr und ausführlich untersuchen möchte, kann dies nun über die On-Premise Sandbox mit Symantec Content Analysis – Dynamic Sandboxing machen.

https://www.niwis.com/forum/forum/bl...mic-sandboxing
2 von 3 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
3 von 3 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
Mehr anzeigen
Weniger anzeigen

Fehler bei den Signaturupdates

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Fehler bei den Signaturupdates

    Wie wir erfahren haben, wurden am 14.01.2018 Signaturen ausgerollt, bei denen es zu Fehlern gekommen ist. Die Entwickler von Symantec arbeiten bereits mit Hochdruck an der Analyse.

    Uns wurde berichtet, dass die Warnmeldung "Attack: Structured Exception Handler Overwrite" erschien und der Symantec Endpoint Protection Dienst beendet wurde. Auch wenn Symantec sich in diesem Fall nicht 100% sicher ist geht man davon aus, dass es sich hierbei um einen False Positive handelt.

    Das Zurücksetzen der Intrusion Prevention Signaturen, sollte das Problem beheben.

    Gehen Sie dazu auf Richtlinien - Liveupdate - LiveUpdate-Content - Angriffschutz-Signaturen (Intrusion Prevention) - Bearbeiten und wählen Sie eine Version vor dem 14.01.2019 aus.

    Click image for larger version  Name:	LiveUpdate-Content-Richtlinie.jpg Views:	1 Size:	68.5 KB ID:	36297
    Zuletzt geändert von Manuel; 16.01.2019, 11:36.

    #2
    Bestätigt als False Positive, siehe auch https://www.niwis.com/forum/forum/en...6299#post36299
    Zuletzt geändert von uspange; 16.01.2019, 12:53.

    Kommentar


      #3
      Das Problem ist inzwischen behoben worden. Ein Rollback der Signaturen ist daher nicht mehr erforderlich.

      Heute ist uns von einigen Kunden gemeldet worden, der Fehler sei immer noch da. In diesem Fall bitte die Signaturen und/oder Engine mit einer Live Update Content Richtlinie zurückrollen und einen Fall eröffnen.

      Wir freuen uns hier in diesem Thread auf Meldungen von euch
      Zuletzt geändert von Manuel; 18.01.2019, 12:07.

      Kommentar


        #4
        Hallo Manuel, bei einigen Rechnern trat das Problem am Freitag noch mal auf, aber diese hatten sich die neuen Virendefs nicht ziehen können, weil die Dienste gestoppt waren und es der Manipulationsschutz offensichtlich nicht geschafft hat, die Dienste wieder zu starten. In der Regel half ein Neustart des Betriebssystems. Das Ganze musste auf einigen Rechnern aber bis zu 3 Mal durchgeführt werden, weil es SEP nicht geschafft hat, die Dienste wieder zu starten. Ein paar wenige Rechner ließen die Dienste gar nicht mehr starten, eine Reparatur der Installation hat in diesen Fällen geholfen.

        Kommentar


          #5
          Hallo 'Torsten, danke für die Info.
          Ja, wir haben zur Zeit diesen Fehler auch. Von Symantec gibt es die Empfehlung die MEM Technologie für den Prozess zu deaktivieren, die zum Stoppen des SEP führt.

          https://support.symantec.com/en_US/a...WTO127057.html

          Das wird natürlich etwas tricky, wenn nichts in den logs auftaucht.

          Kommentar


            #6
            Folgende Info habe ich vom Symantec Support erhalten...
            • In the evening of January 15th, Symantec noticed an increase of cases where SEP's Memory Exploit Mitigation (MEM) component is being triggered by SEP's own ccSvcHst.exe,
            • It was then recommended as a workaround to change the MEM policy SEHOP mitigation technique in regards to the ccSvcHst.exe instances from “Default” to “Log Only”,
            • However on the 16th of January, early morning, Symantec Security Response published IPS signature 20190115.064 which was confirmed to address the issue and prevent it from occurring again (including any later revisions), therefore making the workaround no longer needed,
            • This new IP signatures have been confirmed by other customers to resolve the issue,
            • In the evening of January 17th, it has been reported by a customer that the issue is still occurring on clients running the latest IPS signatures (newer than 20190115.064) as well as on clients which are not running the IPS feature itself (likely expected due to the dependency of the IPS drivers with the MEM feature), however for most customer the issue was solved with 20190115.064 signatures
            • Symantec Security Response and Symantec Engineering teams are actively working on the matter.

            Kommentar


              #7
              Obwohl das Problem mit den Signaturen inzwischen behoben ist. Haben wir die Rückmeldung erhalten, dass der im folgenden Beitrag beschriebene Fehler immer noch aufgetreten ist.

              Hier noch einmal die Zusammenfassung des Fehlerbildes:

              - Eine Erkennung der Memory Exloit Mitigation Komponente (MEM) des SEP Clients wird gemeldet
              - SEP Client Dienst wird beendet und neugestartet.
              - Fehler in der Benutzeroberfläche des SEP Clients (jedoch nicht im System-Tray-Symbol) werden gemeldet
              - Versionen der aktuell installierten Definitionen und Engine-Versionen können nicht angezeigt werden, auch wenn präsent auf dem SEP Client.


              Die Fehlerhaften Signaturen wurden zurückgezogen und die neuen Signaturen haben das Problem behoben. Normalerweise werden Virendefinitionen durch den SEP Manager heruntergeladen und über den eingebauten Webserver für die SEP Clients veröffentlicht.

              Nachdem das Problem mit den fehlerhaften Signaturen aufgetreten ist, wurden die neuen Signaturen durch den SEP Client nicht mehr veröffnetlicht, obwohl die Verbindung zum SEP Manager
              bestand.

              Daher mussten die IPS-Signaturen über den IntelligentUpdater.exe heruntergeladen werden.

              https://www.symantec.com/security_response/definitions/download/detail.jsp?gid=ips14

              Anschließend der Manipulationsschutz des SEP Clients deaktivert und der SEP Prozess neugestartet werden.



              smc -stop

              smc -start


              In manchen Fällen musste auch der jeweilige Host neugestartet werden.





              Kommentar

              Lädt...
              X