Web Club

WithSecure hat heute den verbesserten Policy Manager 16.01 freigegeben.

• Policy Manager 16.01 für Windows und Linux
• Policy Manager Proxy 16.01 für Windows und Linux

perComp empfiehlt, die Versionen 16.00 und 16.01 ausschließlich in Testumgebungen zum Testen und Kennenlernen der Funktionen zu installieren.

WithSecure hat am 29.09.2023 diese Versionen freigegeben:

• Policy Manager 16.00 für Windows und Linux
• Policy Manager Proxy 16.00 für Windows und Linux
• Client Security 16.00 Premium und Standard
• Server Security 16.00 Premium und Standard

Der Policy Manager Server unterstützt Windows Server 2012 R2, 2016, 2019 und 2022 sowie diverse Linuxe. Neu ist unter Anderem der Ultimate Mode zur besseren Unterstützung von Endpoints ohne Zugang zum Internet.

Die Client Security 16 unterstützt Windows 10 und 11. Diverse Neuerungen sind enthalten, beispielsweise eine verbesserte Windows-Firewall-Unterstützung. Die Browser-Schutz-Plugins haben neue Extension-IDs erhalten.

Die Server Security 16 unterstützt Windows Server 2012 R2, 2016, 2019 und 2022 und enthält die selben Neuerungen wie die Client Security.

Die E-Mail und Server Security 16 steht noch nicht zur Verfügung, soll aber demnächst folgen.

Einschränkungen:

• Der Policy Manager unterstützt keine Endpoints Version 13 oder älter.
• Die Installation der Policy Manager Console erfordert Kommandozeilen-Parameter.
• Die Aktualisierung des Policy Managers aus Nicht-Standard-Pfaden wird nicht unterstützt.
• EDR unterstützen Client Security und Server Security noch nicht. Die Unterstützung wird voraussichtlich noch im Oktober über die automatischen Updates ausgerollt.

perComp empfiehlt, die Hinweise zur Version 16 zu beachten und die Versionen 16.00 und 16.01 ausschließlich in Testumgebungen zum Testen und Kennenlernen der Funktionen zu installieren.

Die neuen Keycodes erhalten Sie bei Ihrem Support.

 

Abkündigungen

Mit dem Erscheinen der Version 16 ist die Unterstützung der folgenden Versionen zum 30.09.2024 abgekündigt:

• Policy Manager 15
• Client Security 15
• Server Security 15
• E-Mail und Server Security 15

perComp empfiehlt, nach Absprache mit dem perComp-Support im Q1 oder Q2 2024 auf die Version 16 zu aktualisieren.

 

Schulungen zur Version 16

Ein Präsenztraining findet vom 11. bis 13. März 2024 in Hamburg statt, individuelle Remote-Schulungen auf Nachfrage.

Die Freigabe von macOS 14 Sonoma ist für den 26.09.2023 angekündigt.

Diese Version wird noch nicht vollständig von den WithSecure-Schutzprodukten unterstützt.

WithSecure empfiehlt, das Update auf macOS 14 zu verschieben, bis die vollständige Unterstützung durch die Schutzprodukte implementiert ist. Falls das Update nicht verschoben werden kann, stehen teilweise Workarounds zur Verfügung.

Weitere Infos bei WithSecure: WithSecure products and macOS 14 "Sonoma"

Programm-Updates und Neuinstallationen können nur noch durchgeführt werden, wenn die Windows-Installation "Azure Code Signing" (ACS) unterstützt.

Auch automatische Programm-Updates sind betroffen, beispielsweise Ultralight-Core-Udates, die über den Automatic Update Agent heruntergeladen und installiert werden.

Als Fehlerbild treten u.A. solche Alarme auf:

Ein Update konnte nicht installiert werden.
Das folgende Update konnte nicht installiert werden: F-Secure Ultralight Core (64-bit) 2023-05-09_01 (F-Secure Client Security).

Ein Update konnte nicht installiert werden.
Das folgende Update konnte nicht installiert werden: F-Secure Ultralight Core (64-bit) 2023-06-12_01 (F-Secure Client Security).

Nach einem misslungenen Ultralight-Core-Update ist weiterhin der alte Ultralight-Core in Betieb, so dass weiterhin der bisherige Schutz besteht.

Betroffene Produkte:

• Endpoint Protection
• Endpoint Detection & Response
• Countercept
• Client Security
• Server Security
• E-Mail und Server Security

Neuere Windows-Workstation-Versionen erfüllen die Voraussetzungen für Azure Code Signing:

• Windows 11
• Windows 10 22H2
• Windows 10 21H2

Ältere Windows-Versionen und alle Windows Server einschließlich 2022 benötigen für Azure Code Signing ein Windows-Update aus dem Jahr 2021. Eine Beschreibung liefert Microsoft KB5022661.

Zusätzlich wird das Root-Zertifikat Microsoft Identity Verification Root Certificate Authority 2020 benötigt. Normalerweise lädt Windows es automatisch herunter.

Bei Offline-Systemen (isolierten Systemen) müssen Patches und Zertifikate eventuell manuell installiert werden.

perComp empfiehlt:

1. installieren Sie im Fehlerfall die nötigen Patches
2. starten Sie die betroffenen Geräte neu
3. die Installation des fehlenden Ultralight-Core-Udate wird bei Einsatz von Client Security oder Server Security über den Policy Manager und den CS 15.30 Hotfix 11 (!) neu angestoßen

Weitere Informationen:

• WithSecure Community: Changes in support on Microsoft Windows – Minimum patch level.
• Microsoft PKI Repository
• Microsoft KB5022661—Windows support for the Azure Code Signing program

Artikel-Historie: 
03.03.2023  erster Artikel im Web Club
09.05.2023  zweiter Artikel im Web Club
20.06.2023  Ergänzungen und Empfehlung im zweiten Artikel

WithSecure hat das Security Advisory CVE-2023-NNN (wird nachgetragen) und den "F-Secure Policy Manager 15.30 Hotfix 7" für Windows und Linux veröffentlicht.

Alle Versionen des Policy Manager Servers enthalten eine RCE-Schwachstelle (Remote Code Execution), die aus der Ferne ohne Authentifizierung ausgenutzt werden kann. WithSecure stuft das Risiko als hoch ein.

Betroffen sind:

•     Policy Manager Server, alle Versionen
•     Policy Manager Proxy, alle Versionen
•     Policy Manager Server Linux, alle Versionen
•     Policy Manager Proxy Linux, alle Versionen

Der Elements Connector ist nicht betroffen.

Exploits oder Angriffe wurden nicht beobachtet.

Mit dem Hotfix 7 wird diese Schwachstelle behoben. Er steht ausschließlich für Policy Manager Server 15.30 und Policy Manager Proxy 15.30 zur Verfügung und enthält auch die früher veröffentlichten Hotfixes 3, 4, 5 und 6.

perComp empfiehlt:

• Installieren Sie diesen Hotfix zuerst auf den Policy Manager Servern, die direkt aus dem Internet erreichbar sind.
• Aktualisieren Sie vor der Installation des Hotfixes Ihre Policy Manager auf die Version 15.30.

WithSecure hat die Web-Seite mit den End-of-Life Daten der Business Suite bisher noch nicht überarbeitet und gibt daher teilweise zu frühe Termine an. Betroffen sind Policy Manager, Client Security, Server Security und E-Mail und Server Security.

Generell sagt WithSecure zu:

1. Jede Hauptversion wird mindestens 3 Jahre ab Erscheinen unterstützt.
2. Jede Hauptversion wird mindestens 1 Jahr nach Erscheinen der nachfolgenden Hauptversion unterstützt.

Mit "Hauptversion" ist z.B. die Client Security 15 gemeint, mit "Nebenversion" z.B. die Client Security 15.30.

Beispielsweise ist die Hauptversion 15 der Client Security mit der Nebenversion 15.00 am 10. August 2020 erschienen. Somit kann nach der 1. Regel die Unterstützung nicht vor dem 10. August 2023 auslaufen.
Da aber die nächste Hauptversion 16 noch nicht veröffentlicht ist, muss nach der 2. Regel die Hauptversion 15 mindestens bis Ende März 2024 unterstützt werden.

Das gleiche gilt für Policy Manager 15, Client Security 15, Server Security 15 und E-Mail und Server Security 15: Unterstützung mindestens bis Ende März 2024

Für Hofixes gilt:

• Sicherheits-Hotfixes werden für jede Nebenversion einer unterstützten Hauptversion zur Verfügung gestellt.
• Weitere Hotfixes, die nicht sicherheitsrelevant sind, werden für die aktuellste Nebenversion einer unterstützten Hauptversion zur Verfügung gestellt.
• Ausnahme Policy Manager: Für den Policy Manager werden auch Sicherheits-Hotfixes nur für die aktuellste Nebenversion einer unterstützten Hauptversion zur Verfügung gestellt.

Beispielsweise für die Client Security: Für alle 15er-Versionen werden Sicherheits-Hotfixes zur Verfügung gestellt, aber nur für die 15.30 weitere Hotfixes.

Ausnahme Policy Manager: Hier werden zur Zeit nur für den Policy Manager 15.30 Hotfixes bereitgestellt.

perComp empfiehlt:

• Aktualisieren Sie ihre Installationen auf die neueste Version (z.B. 15.30).
• Installieren Sie auf dem Policy Manager Server den PM Hotfix 5.

Das Computer Emergency Response Team Rheinland-Pfalz warnt am 10.03.2023: "Emotet ist zurück mit neuen TTPs"

Über E-Mail werden ZIP-Anhänge oder Links auf ZIP-Downloads verbreitet, die sehr große Office-Dokument enthalten und dadurch Anti-Virus-Programme überlisten sollen.

WithSecure erkennt solche ZIP-Archive seit Langem als Mail Bomb.

Word sollte so konfiguriert sein, dass es keine Makros aus unbekannten Quellen ausführt.

Falls doch Makros ausgeführt werden, sollten neben dem Echtzeit-Scan auch AMSI-Scanner und DeepGuard unabhängig von der Dateigröße die Installation von Emotet verhindern.

Weitere Informationen: Bleeping Computer Emotet malware attacks return after three-month break

Ab dem 9. März werden im Elements Vulnerability Management Schwachstellen nicht mehr nach CVSSv2 (Common Vulnerability Scoring System) bewertet, sondern nach dem aktuellen CVSSv3.1.

Dadurch ergeben sich auch bei unveränderter Lage sowohl im Dashboard als auch in Datail-Ansichten leicht veränderte Einschätzungen von Sicherheitslücken.

Weitere Informationen:

• WithSecure Community: Elements Vulnerability Management introduces new scoring system – CVSSv3

Für einen höheren Schutz gegen Manipulation (Tamper Protection) und durch den Ablauf eines älteren F-Secure-Zertifikates können ab heute nur noch Programm-Updates und Neuinstallationen durchgeführt werden, wenn die Windows-Installation "Azure Code Signing" (ACS) unterstützt. Auch automatische Updates können betroffen sein.

Betroffene Produkte:

• Endpoint Protection
• Endpoint Detection & Response
• Countercept
• Client Security
• Server Security
• E-Mail und Server Security

Neuere Windows-Workstation-Versionen erfüllen die Voraussetzungen für Azure Code Signing:

• Windows 11
• Windows 10 22H2
• Windows 10 21H2

Ältere Windows-Versionen und alle Windows Server einschließlich 2022 benötigen für Azure Code Signing ein Windows-Update aus dem Jahr 2021. Eine Beschreibung liefert Microsoft KB5022661.

Das Root-Zertifikat Microsoft Identity Verification Root Certificate Authority 2020 wird zusätzlich benötigt. Normalerweise lädt Windows es automatisch herunter. Bei Offline-Systemen muss es eventuell manuell installiert werden.

Weitere Informationen:

• WithSecure Community: Changes in support on Microsoft Windows – Minimum patch level.
• Microsoft PKI Repository
• Microsoft KB5022661—Windows support for the Azure Code Signing program

Der Microsoft-Support für Windows 7 und Windows Server 2008 R2 ist am 14.01.2020 ausgelaufen. Seitdem gibt es z.B. keine Betriebssystem-Updates mehr.

WithSecure unterstützt Windows 7 und Server 2008 R2 bis zum 30.06.2023.

perComp empfiehlt: Legen Sie Ihre betroffenen Windows-Installationen so bald wie möglich still. Wenn dies nicht möglich ist, setzen Sie sich mit Ihrem Support in Verbindung.

Weitere Informationen: WithSecure Community.

WithSecure hat das Security Advisory CVE-2023-XXX (wird nachgetragen) und den "F-Secure Policy Manager 15.30 Hotfix 5" für Windows und Linux veröffentlicht betreffend CVE-2022-42889 und CVE-2023-XXX (wird nachgetragen).

Alle Versionen des Policy Manager Servers ohne Hotfix enthalten XSS-Schwachstellen (Reflected Cross-Site Scripting). Der Policy Manager Proxy ist nicht betroffen.

Exploits oder Angriffe wurden nicht beobachtet.

Mit dem Hotfix 5 werden diese Schwachstellen behoben. Er steht ausschließlich für den Policy Manager 15.30 zur Verfügung und enthält auch die früher veröffentlichten Hotfixes 3 und 4.

perComp empfiehlt:

• Installieren Sie diesen Hotfix zuerst auf den Policy Manager Servern, die direkt aus dem Internet erreichbar sind.
• Aktualisieren Sie vor der Installation des Hotfixes Ihre Policy Manager auf die Version 15.30.

WithSecure hat die Elements Endpoint Protection 22.9 ausgerollt. Neue Features:

• Serverfreigabe-Schutz verhindert bösartige Veränderungen auf freigegebenen Verzeichnissen
• Systemereignis-Erkennung alarmiert bei sicherheitsrelevanten Einträgen in der Ereignisanzeige (Premium-Feature)

WithSecure hat das Security Advisory CVE-2022-45871 veröffentlicht.

Betroffen von der DoS-Schwachstelle (Denial-of-Service) ist die ICAP-Schnittstelle des Atlant, aber nicht die Funktionalität als Scanning and Reputation Server.

Das Risiko eines Angriffs wird von WithSecure als mittel (niedrig/mittel/hoch/kritisch) eingestuft.

Die Schwachstelle wurde am 28.11.2022 über das automatische Update "BaseGuard 1.0.723" geschlossen, solange nicht explizit die automatische Aktualisierung der Programmversion unterbunden wird (Version Pinning).

Konkrete Angriffe sind nicht bekannt.

Die Sicherheitslücke CVE-2022-38166 Multiple Denial-of-Service (DoS) Vulnerability wurde am 22.11.2022 in diversen Anti-Malware-Produkten über das automatische Update "F-Secure Capricorn Engine (64-bit) 2022-11-22_07" geschlossen. Konkrete Angriffe sind nicht bekannt.

WithSecure hat das Security Advisory CVE-2022-38165 und den "F-Secure Policy Manager 15.30 Hotfix 4" für Windows und Linux veröffentlicht.

Mit dem Hotfix wird eine Schwachstelle behoben, mit der Dateien in beliebige Verzeichnisse geschrieben werden können.

Das Risiko des Angriffs wird von F-Secure als mittel (niedrig/mittel/hoch/kritisch) eingestuft.

Betroffen von den Schwachstellen sind alle Versionen des Policy Manager Servers, aber nicht der Policy Manager Proxy.

Der Hotfix steht ausschließlich für den Policy Manager 15.30 zur Verfügung.

Exploits oder Angriffe wurden nicht beobachtet.

perComp empfiehlt:

• Installieren Sie diesen Hotfix zuerst auf den Policy Manager Servern, die direkt aus dem Internet erreichbar sind.
• Aktualisieren Sie vor der Installation des Hotfixes Ihre Policy Manager auf die Version 15.30.

WithSecure hat das Security Advisory CVE-2022-38162 und den "F-Secure Policy Manager 15.30 Hotfix 3" für Windows und Linux veröffentlicht.

Mit dem Hotfix werden mehrere Reflected Cross-Site Scripting (XSS) Schwachstellen behoben.

Betroffen von den Schwachstellen sind alle Versionen des Policy Manager Servers.

Der Hotfix steht ausschließlich für den Policy Manager 15.30 zur Verfügung.

Exploits oder Angriffe wurden nicht beobachtet.

perComp empfiehlt:

• Installieren Sie diesen Hotfix zuerst auf den Policy Manager Servern, die direkt aus dem Internet erreichbar sind.
• Aktualisieren Sie vor der Installation des Hotfixes Ihre Policy Manager auf die Version 15.30.

Am 28.09.2022 wurde die Sicherheitslücke "ProxyNotShell" mit CVE-2022-41040 und CVE-2022-41082 auf Microsoft Exchange Servern bekannt.

Das BSI schätzt die Bedrohungslage als 3 / Orange ein: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs" (1 / Grau, 2 / Gelb, 3 / Orange, 4 / Rot).

WithSecure EDR erkennt Aktivitäten, die üblicherweise nach dem Ausnutzen von solchen Exploits auftreten. Außerdem kann in den eine Woche lang vorgehaltenen EDR-Events nach verdächtigen Prozessen gesucht werden. Details hierzu finden sich in der WithSecure Community.

In der WithSecure E-Mail und Server-Security können folgende Erkennungen auf ProxyNotShell hindeuten:

Exploit.EXP/Trojan.WebShell.Gen
Malware.HTML/ExpKit.Gen2
Backdoor:ASPX/Genshell.A
Trojan.TR/Webshell.*
TR/Webshell.*
Exploit:W32/W3WPLaunch.A!Deepguard

10.10.2022 Ergänzung Vulnerability Management
Auch das WithSecure Elements Vulnerability Management erkennt die Verwundbarkeit im Netzwerkscan (Systemscan).

Weitere Informationen:
WithSecure Comunity MS Exchange vulnerabilities - September 2022
Microsoft Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server
Microsoft Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082
GTSC: Exchange Zero-Day Exploit in-the-Wild (Web-Archive 30.10.2022)

F-Secure hat Atlant als Version 1.0.187 und Linux Security 64 als Version 12.0.338 herausgebracht.

Diese Versionen unterstützen zusätzlich Ubuntu 22.04., Red Hat Enterprise Linux 9 und Alma Linux 9. Sie enthalten verschiedene Fixes und kleinere Neuerungen.

Die Produkte aktualisieren sich normalerweise automatisch.

Der Software-Updater findet zz. fehlende kumulative Windows-Updates nicht korrekt. Betroffene Windows-Installationen werden als aktuell angezeigt.

Betroffen sind die Premium-Versionen der Business Suite sowie die Elements Endpoint Protection.

Das Windows Update von Microsoft ist nicht betroffen und zeigt fehlende kumulative Updates normal an.

WithSecure arbeitet an einer Lösung.

Am  am 22.08.2022 ab ca. 13:00 Uhr nach dem automatischen Update "Ulcore-WinXX 2022-08-22_021" blockierte auf virtualisierten Servern die Geräte-Steuerung das Ausführen von Programmen von falsch klassifizierten Datenträgern.

Dieser Umstand wurde am selben Tag gegen 20:00 Uhr mit dem automatischen Update "Ulcore-WinXX 2022-08-22_02" behoben.

Falls in Einzelfällen ein Gerät das spätere automatische Update nicht ordentlich übernommen hat, hilft das Deaktivieren der Geräte-Steuerung oder ein Neustart.

Elements Collaboration Protection, ehemals Elements für Microsoft 365, schützt zusätzlich zu Exchange Online und SharePoint Online auch neu:

• OneDrive
• Dateiaustausch über Teams-Chat

Dieser Schutz muss über das Elements-Portal aktiviert werden:

Elements-Portal > Collaboration Protection > Clouddienste > OneDrive > Autorisieren

Die Sicherheitslücken, die in verschiedenen Medien zz. erwähnt werden (CVE-2022-28876 vom 13.07.2022, medium, gefixt mit Capricorn Update 2022-07-04_09, CVE-2022-28878 vom 22.07.2022, medium, gefixt mit Capricorn Update 2022-07-11_07, CVE-2022-28879 vom 22.07.2022, medium, gefixt mit Capricorn Update 2022-07-11_07) sind bereits automatisch mit den genannten Updates geschlossen worden.

Das BSI warnt vor Follina (CVE-2022-30190) in der Stufe "3 / Orange".

F-Secure erkennt Follina seit dem frühen Nachmittag des 30.05. direkt als "Exploit:W32/Follina.A1!DeepGuard".

WithSecure hat Policy Manager 15.30.96312 und Policy Manager Proxy 15.30.96312 für Windows und für Linux freigegeben.

Diese Version enthält die folgenden Hotfixes:

• Log4j (2.17.1)
• Spring4Shell (5.2.20)

Am 31.03.2022 wurde die Sicherheitslücke CVE-2022-22965 aka Spring4Shell im Spring-Framework bekannt. Dieses Framework ist auch im Policy Manager enthalten.

Es ist kein Weg bekannt, die Spring-Schwachstellen im Policy Manager auszunutzen. Trotzdem hat WithSecure einen Hotfix herausgebracht, mit dem die Dateien im Policy Manager gegen die gefixte Spring-Version 5.5.20 ausgetauscht werden können.

Folgende Versionen sind betroffen:

• F-Secure Policy Manager 15.00 - 15.30
• F-Secure Policy Manager Linux 15.00 - 15.30
• F-Secure Policy Manager Proxy 15.00 - 15.30
• F-Secure Policy Manager Proxy Linux 15.00 - 15.30
• F-Secure Elements Connector (alle Versionen)

Hotfix für Policy Manager: pms-pmp-hotfix-spring4shell-5.2.20
Hotfix für Elements Connector: ec-hotfix-spring4shell-5.2.20

Verschiedene Vulnerability-Scanner erkennen ungepatchte Installationen fälschlicherweise als verwundbar. Auch in solchen Situationen schafft der Hotfix Abhilfe.

Weitere Informationen:
WithSecure Security Advisory
VMware Vulnerability Report

Nachtrag 26.04.2022:
Der Policy Manager 15.30.96312 vom 26.04.2022 enthält den Hotfix pms-pmp-hotfix-spring4shell-5.2.20.

Mozilla Firefox deaktiviert zz. das Browsing Protection Addon von Client Security, Server Security sowie E-Mail und Server Security.

Bewertungen in Such-Ergebnissen von Google & Co. sind ohne Plugin nicht möglich.
Die Banking Protection aktiviert sich nicht.
Das Aufrufen von bösartigen Web-Seiten wird weiterhin blockiert, auch ohne das Plugin.

Technischer Hintergrund: URLs werden auch auf tieferer Ebene durch den F-Secure Network Interception Framework Treiber, der Teil von Client Security und (E-Mail und) Server Security ist, überprüft.

Chrome und Edge sind nicht betroffen. F-Secure arbeitet zusammen mit Mozilla an einer Lösung des Problems.

Nachtrag 24.03.2022

Mit dem Addon 4.1.11 ist Plugin wieder funktionsfähig. Im Firefox kann das Plugin lokal aktualisiert und installiert werden. Dazu muss lokal ein Datenschutz-Hinweis zur Kenntnis genommen werden.

F-Secure hat heute einen Hotfix für die Schwachstelle CVE-2021-44750 im F-Secure Support Tool (fsdiag) herausgebracht.

Das Support-Tool kann genutzt werden, um auf den betroffenen Systemen als Administrator oder als System Code auszuführen.

F-Secure schätzt den Schweregrad als "mittel" ein.

Betroffen sind alle Versionen von:

• Client Security (außer 15.30.3961 vom 24.02.2022)
• Server Security (außer 15.30.3894 vom 24.02.2022)
• E-Mail und Server Security
• Elements EPP E-Mail und Server Security

Diese Versionen müssen über den "F-Secure Support Tool vulnerability Hotfix (FSCS1530-HF02)" (ein Hotfix für alle Versionen!) aktualisiert werden.

Elements EPP Computer Protection, Server Protection, Elements Agent, MDR und PCP wurden automatisch aktualisiert.

Client Security 15.30.3961 und Server Security 15.30.3894 vom 24.02.2022 enthalten eine gefixte Version von fsdiag und sind nicht verwundbar.

perComp empfiehlt:

• Patchen Sie Ihre Hosts.
• Aktualisieren Sie alte Versionen der Client Security auf 15.30.3961.

Weitere Infos: F-Secure Security Advisory

Nachtrag 10.03.2022: Client Security 15.30.3961 und Server Security 15.30.3894 ergänzt.

F-Secure hat die Client Security 15.30.3961 und die Server Security 15.30.3894 jeweils als Premium und Standard freigegeben.

Diese Versionen enthalten Fixes für die Installation, besonders das Upgrade von Version 14. Es sind keine anderen Änderungen in der Funktionalität enthalten.

Seit 20.01.2022 nachmittags treten gehäuft Fehlalarme mit dem Alarm-Typ "process modification" auf:

• Sicherheitsalarm: DeepGuard hat eine nicht vertrauenswürdige Anwendung daran gehindert, einen anderen Prozess zu ändern.
• Infection: DeepGuard blocked an application from modifying another process.

Alarme und betroffene Dateien sollten per E-Mail an samples@percomp.de geschickt werden oder per Web-Formular hochgeladen.

Wer sich sicher ist, dass die betroffene Datei harmlos ist, kann diese zusätzlich über die Policy Manager Console vom Scannen ausschließen.

Einstellungen > Echtzeitscan > Vom Scan ausgeschlossene Dateien und Anwendungen
Typ: "SHA-1-Hash der Anwendung" wird empfohlen. Der Hash kann dem Alarm entnommen werden.
Bereich: "Alle Scans" muss gewählt werden.

21.01.2022  Nachtrag  

Die Fehlalarme wurden umgehend behoben und ab ca. 17:00 Uhr auch die Ursache mithilfe des automatischen Updates 'F-Secure Ultralight Core (64-bit) 2022-01-21_01'.
Damit können die ggf. erstellten Scan-Ausnahmen wieder entfernt oder deaktiviert werden.

F-Secure hat einen neuen Patch zu den Log4j-Sicherheitslücken mit der Log4j-Version 17.1 herausgebracht.

Normalerweise ist der Patch vom 10.12.2021 oder eine aktualisierte Version wie der Policy Manager 15.30 ausreichend.

Nur in speziell angepassten Installationen oder für manche Vulnerability-Scanner wird der neue Patch benötigt.