Zurück | Archiv

Sophos Antivirensoftware - Sophos erkennt Teile von Cisco Jabber als PUA

Freitag 27.05.2022 15:15 - Freitag 03.06.2022 16:15

Seit heute gibt es vermehrt Meldungen darüber, dass Sophos die Datei ProcessDump.exe im Cisco Jabber Verzeichnis als PUA (Potential unwanted Program) erkennt. EIn Sample wurde zur Prpfung als möglichen False/Positive an Sophos geschickt. Administrierende der Enterprise Console haben als Workaround die Möglichkeit über die "Anti Virus und HIPS Richtlinie" einen Ausschluss für die Datei zu konfigurieren. Sollten Sie keine Enterprise Console einsetzen, kann eine solche Ausnahme auch lokal konfiguriert werden.

Updates

Der Sophos Support stuft dieses nicht als False/Positive ein, sondern sagt vielmehr, dass es sich bei ProcessDump.exe selbst zwar nicht um eine Mailware handelt, aber eben um ein PUA (Potential unwanted Program), das ein Angreifer für seine Zwecke verwenden kann. Im konkreten Fall wäre der Anwendungsfall ein Dump von Prozessen und deren Speicherbereich. siehe bspw auch: https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dump-credentials-from-lsass-process-without-mimikatz Insofern bleibt die Lösung für das Verhalten die Konfiguration eines Ausschlusses im On-Access Scan für die Datei "C:\Program Files (x86)\Cisco Systems\Cisco Jabber\x64\ProcessDump.exe"