Ich kippe mal einen schnelle Information hier im Blog ein. Administratoren einer Firewall von Sophos laufen ggf. in das Problem, dass IP-Adressen von Microsoft (Windows Update) als C2-Angriff gemeldet und geblockt werden. Zudem scheint es auch von weiteren Virenscannern am heutigen 22. Juni 2023 einige "Fehlalarme" zu geben bzw. gegeben zu haben. Grund ist wohl die Signatur einer alten Schwachstelle, die jetzt die Fehlalarme auslöst. Hier eine kurze Übersicht.
Anzeige
Sophos-Firewall Fehlalarme
Ein Blog-Leser hat mich gerade über eine private Nachricht auf Facebook informiert (danke dafür), dass bei ihm die Sophos Firewall Amok läuft und schrieb dazu.
Guten Morgen Born,
neue Infos, aber nicht schlimm.
Seine Sophos Firewall meldet eine Microsoft IP als C2-Attacke (C2 steht hier für Command & Control, also eine Gegenstelle die Befehle entgegen nehmen und für den Angriff neue Schadsoftware bereitstellen kann).
Der Leser hat den Fall heute morgen gehabt. Dieser Sachverhalt wird auch in der Sophos Community diskutiert. Der Leser hat mir nachfolgendes Foto des Bildschirms zukommen lassen, welches die Alarme (C2-Generic-A) der Sophos Firewall bei der IP-Adresse 209.197.3.8 zeigt.
Anzeige
In der Sophos Community findet sich der Thead ATP alerts for 209.197.3.8 dazu, der die gleiche IP-Adresse angibt. Der Betroffene schreibt dazu:
ATP alerts for 209.197.3.8
We are receiving ATP alerts because our machines are trying to access Windows update at 209.197.3.8. They've been hitting that IP for months, but the alerts just started.
Is this a false positive?
Zu Deutsch: Der Betroffene bekommt von seiner Sophos-Firewall ATP-Warnungen (wobei das ATP für Advance Thread Protection steht). Die Sophos Firewall bemängelt, dass die betroffenen Maschinen Windows Update an der angegebenen IP-Adresse zu kontaktieren versuchen. Zugriffe dieser IP-Adresse gibt es schon seit Monaten, aber die Warnmeldungen der Sophos Firewall haben gerade erst begonnen. Der Nutzer fragt, ob dies vielleicht ein Fehlalarm sein könne (false positive)
Das Bild wurde von mehreren Kunden bestätigt. Inzwischen gibt Sophos als Reaktion an, die ATP-Signaturen aktualisiert zu haben, so dass diese IP nicht mehr bemängelt wird. War jemand betroffen?
Weitere Scanner schlagen an
Gestern hatte ich im Beitrag 7-Zip 23.01 veröffentlicht; Virenscanner haben Fehlalarm erwähnt, dass der Microsoft Defender einige Stunden einen Fehlalarm beim Tool 7-Zip auslöste. Leser JoBar hat sich mit folgendem Kommentar gemeldet (danke dafür).
Updates für Defender (u.a. Microsoft-Stuff) könnten allerdings aktuell Probleme bekommen:
Bei uns schrillten heute Morgen die Alarmglocken
"Advanced Threat Protection:
A threat has been detected in your networkThe source IP/host listed below was found to communicate with a potentially malicious site outside your company"
und die entsprechende IP war 209(.)197(.)3(.)8 -> ReverseDNS ctldl(.)windowsupdate(.)com
Diese scheinen laut VirusTotal momentan ein Haufen Scanner zu blacklisten.
Es ist die gleiche IP genannt, die auch in obigen Sophos Firewall-Alarm auftaucht. Ich gehe von einem Fehlalarm aus.
Anzeige
Ja, bei uns zwischen gestern 22 Uhr und heute früh 4 Uhr etliche blockierte Verbindungen (vermutlich während automatischem Mailversand).
Äußert sich genau so wie im Bildschirmfoto oben. Inzwischen ist der Spuk vorbei.
Sowohl auf der SG Daheim, als auch auf den SG HA-Clustern hier im Haus keinerlei Probleme.
Der Screenshot stammt von einer UTM…..UTM wird von Sophos sozusagen nicht mehr weiterentwickelt… XG bei uns haben keine Probleme heute.
Supportende ist 30. Juni 2026 – länger als bei manchem Neuprodukt von Microsoft:
Bis dahin sollten funktionierende Signaturen bereitgestellt werden können.
Neue Features kommen keine mehr, ja. Aber XG ist trotzdem weiterhin im Support und bekommt auch Updates!
Und die XG ist auch klar die Bessere Firewall und wäre auch das "bessere" Konzept für den Centralized Security-Kram gewesen…. aber wenn das Marketing Entscheidungen fällt, kommt da selten was "sicheres" bei raus….
Naja bis 2026, dann ist die UTM EoL, aber dann hat das System auch ausgedient, auch wenn es gut war.
Ach kuck, na da bin ich ja beruhigt ;)
Das Thema hat uns heute morgen beim Blick ins Ticketsystem erstmal Puls beschert. Gab heute morgen auch nochmal eine Ladung ATP-Alarme unserer UTM wegen Zugriffen auf die Google-DNS-Server 8.8.8.8 und 8.8.4.4 – seitdem ist alles wieder ruhig.
(Danke für dein Engagement hier, Günter. Du bist täglich eine wertvolle Quelle.)
Ich bekomm beim Reverse Lookup aber ein anderes Ergebnis für die IP: vip0x008.map2.ssl.hwcdn.net
Hatte ich heute morgen ebenfalls geschaut und der Puls stieg noch höher….
zum glück gab es schnell im Sophos Forum erklärungen.
Schon im Mai(!) hatte hier jemand identisches mit dieser IP mit Cisco Firewalls:
ces-safe-behind-next-public/b819c103-2cb3-4874-b46e-b375360a3bf6
Ist also wohl eher so, dass irgendetwas in den Updates einen Alarm triggert und diese IP als schädlich einstuft. Die Einstufung wird dann zurückgespielt und die ATP-Anbieter sperren dann gleich die IP komplett. Frage wird denn diese IP "nur" für Updates benutzt, oder liegen da noch andere Sachen drauf? Wenn die IP in die Blacklists wandert kann das ja mehrere Ursachen haben.
Wenn aber immer wieder diese IP bei unterschiedlichen Herstellern aufschlägt könnte auch MS mal hellhörig werden – ok – setzt voraus das dort jemand Hören kann :(
Diese IP gehört zu einem Content Distributor wie an der Domain hwCDN zu vermuten ist.
Es ist davon auszugehen, dass es da auch andere Kunden gibt. Es ist nicht auszuschließen dass da etwas anderes getriggert hat.
Betroffen waren ja auch nicht alle Kunden, weil MS die Last natürlich verteilt.
M.e. hat nicht MS schuld, sondern die Hersteller der ATP die wohl nicht so genau gucken wen sie da sperren.
Der Reverse lookup bringt nur den Namen es Providers, nicht Windowsupdate.
Das hat nichts, aber auch gar nichts mit dem Fehl alarm bei 7zip zutun. Das ist auch eine ganz andere Schadensklasse.
Beides kann vorkommen.
Es sitzen da halt Menschen.
Was aber klappen muss ist die
schnelle Fehler Korrektur.
Microsoft Windows Updates sind ein Angriff auf jede funktionierende IT Infrastruktur.
Hätte hier früher reingucken müssen um nicht einen Tag Arbeit zu verlieren (facepalm)
Reichlich Meldungen für diese IP und der Defender hat uns Freitag bis Dienstag ziemlich viel Arbeit gemacht, da er bei einem Kunden brav die .exe unseres ERP-Systems erkannt und gelöscht hat. Bis wir den Verursacher gefunden hatten (ein wenig genutzter Terminalserver, auf dem vergessen worden ist, die Sophos Server Protection zu installieren). War recht spassig
Sehr interessanter Beitrag. Vielen Dank Herr Born!
Auch bei uns war der Puls erstmal oben.
Schön das es eine Erklärung gibt die erstmal den Wind aus den Segeln nimmt ;-)
Ja, auch betroffen!