[English]Kurze Information für Administratoren einer Sophos Intercept X Endpoint-Lösung. Der Hersteller scheint seine Kunden gerade über ein gravierendes Problem zu informieren. Nach einer Neuinstallation von Sophos Intercept X Endpoint für Windows oder einem Update ist sus.sophosupd.com nicht mehr erreichbar, sondern meldet einen HTTP Error 403. Inzwischen hat Sophos ein entsprechendes Advisory (KB-000043980 vom 6. Mai 2022) zu diesem Problem veröffentlicht. Hier einige Informationen zu diesem Sachverhalt.
Anzeige
Sophos Intercept X Endpoint
Sophos Intercept X Endpoint ist eine Komplettlösung zur Absicherung von Endpunkten. Laut den Spezifikationen bietet das Produkt Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), eine Anti-Ransomware-Funktion und vieles mehr. Das Produkt dürfte in Firmenumgebungen zur Absicherung von Endpunkten zum Einsatz kommen. Das Magazin com! hat 2021 einen Test des Produkts durchgeführt und diesen Artikel dazu veröffentlicht.
Neuinstallation/Update führt zu HTTP Error 403
Blog-Leser Stefan V. hat mich gerade per Facebook über ein fettes Problem bei Sophos Intercept X Endpoint informiert (danke für den Hinweis) und schrieb:
Moin moin. Gerade von Sophos via sms erhalten. Intercept X begeht Selbstmord
Nette Umschreibung des Sachverhalts. Sophos hat dazu ein ADVISORY: New installations fail with HTTP Error 403 from https://sus.sophosupd.com/ (KB-000043980) mit folgender Fehlerbeschreibung veröffentlicht:
Issue
New Installation and/or Device updates fail with HTTP Error 403 from *ttps://sus.sophosupd.com/
This error is seen in C:\ProgramData\Sophos\AutoUpdate\SophosUpdate.log022-05-04T07:10:28.803Z [10656: 9772] I 403 from with proxy: <direct; no proxy> 112022-05-04T07:10:28.804Z [10656: 9772] W Error refreshing service config: will sync using stale SUS config: No reachable update service locations 122022-05-04T07:10:28.810Z [10656: 9772] E No reachable update service locationsAnd C:\ProgramData\Sophos\CloudInstaller\CloudInstaller.log
2022-05-01T23:19:59.5312323Z INFO : 403 from with proxy: <direct; no proxy> 112022-05-01T23:19:59.5312323Z ERROR : Error: No reachable update service locations 122022-05-01T23:19:59.5312323Z ERROR : DownloadCommand::onRun() failed with std::exception: SDDS3 sync failed
Betroffen von diesem Fehler ist Sophos Intercept X Endpoint für Windows, welches aufgrund von Problemen im Zusammenhang mit dem Endpoint-Datensatz in Sophos Central auftritt. Kunden, bei denen das Problem bei einer Installation auftritt, können das Ganze umgehen, indem sie den Hostnamen des Geräts umbenennen und die Installation erneut versuchen. Dadurch wird ein neuer Endpoint-Datensatz in Sophos Central erstellt.
Anzeige
Kunden, bei denen dieser Fehler während Updates auftritt, können das Problem derzeit nur durch eine Neuinstallation des Produkts mit einem neuen Hostnamen beheben, schreibt Sophos in seiner Mitteilung. Es handelt sich nur um Produkt-Updates, die fehlschlagen. Ergänzende Updates funktionieren weiterhin wie vorgesehen, so dass der Schutz derzeit nicht beeinträchtigt ist.
Anzeige
"Hostnamen des Geräts umbenennen" – das ist ein No-Go, speziell im Server-Umfeld. Aber bei Desktops wäre es auch blöd, weil z.B. die Hostnamen für die Inventarisierung verwendet werden.
Der KB Artikel ist unter folgender URL zu finden:
"Der KB Artikel ist unter folgender URL zu finden: https://support.sophos.com/support/s/article/KB-000043980?language=en_US"
Wenn schon die Hersteller von Virenschutz ihre Seite komplett in JavaScript "programmieren" dann braucht man sich nicht über die steigende Anzahl von Infektionen über Websites zu wundern. Die Leute werden ja geradezu gezwungen, ohne NoScript zu surfen.
Leider muss somit auch Sophos auf meine Besuche künftig verzichten …