Seit heute morgen gibt es ein Problem beim Update von Sophos Clients unter Windows.Sophos arbeitet an einer Behebung des Problems. Weitere aktuelle Informationen entnehmen Sie bitte dem entsprechenden Supportartikel bei Sophos: https://support.sophos.com/support/s/article/KB-000045926?language=en_US&c__displayLanguage=en_US
Das Problem wurde behoben.
--- english version below --- Zum 20. Juli 2023 werden die On-Premise-Varianten des Virenscanners Sophos sowie der Verwaltungskonsole „Sophos Enterprise Console“ abgekündigt und danach nicht mehr mit Updates durch die Firma Sophos versorgt. Für betroffene Institute ist daher ist eine Migration nach „Sophos Central“ notwendig. Gerne stellen wir Ihnen für Ihre Einrichtung eine Instanz von „Sophos Central“ bereit. Melden Sie sich hierzu einfach per E-Mail bei unserem IT-ServiceDesk (servicedesk@itc.rwth-aachen.de). Die Privatnutzung ist für Angehörige der RWTH auch weiterhin möglich, allerdings wird sie zukünftig von der Firma Sophos selbst bereitgestellt. Dafür steht eine Portalseite unter folgendem Link zur Verfügung: https://home.sophos.com/de-de/employee/hochschulen-nrw Auf der Portalseite können Sie sich mit Ihrer persönlichen RWTH-E-Mail-Adresse (vorname.nachname@rwth-aachen.de) registrieren. Dadurch wird Ihnen ein kostenfreier Umstieg auf „Sophos Home Premium“ ermöglicht. Die Migration muss bis spätestens zum 20. Juli 2023 erfolgen, damit Ihre Systeme weiterhin geschützt sind. Weitere Informationen zur Umstellung und zu möglichen Migrationsszenarien finden Sie unter folgendem Link auf IT Center Help: https://help.itc.rwth-aachen.de/service/t4ncceheru46/article/ced03aa4e9c745f993c27b5e58d42156/ Wir danken Ihnen für Ihr Verständnis und Mitwirken. --- english version --- On July 20, 2023, the on-premise variants of the Sophos virus scanner and the management console "Sophos Enterprise Console" will be discontinued and will no longer be provided with updates by Sophos. For affected institutions, a migration to "Sophos Central" is therefore necessary. We will be happy to provide you with an instance of "Sophos Central" for your institution. Simply contact our IT-ServiceDesk (servicedesk@itc.rwth-aachen.de) by e-mail. Private use is still possible for members of RWTH, but in the future it will be provided by Sophos itself. For this purpose, a portal page is available under the following link: https://home.sophos.com/de-de/employee/hochschulen-nrw. On the portal page you can register with your personal RWTH email address (firstname.lastname@rwth-aachen.de). This will enable you to migrate to "Sophos Home Premium" free of charge. The migration must take place no later than July 20, 2023, to ensure that your systems continue to be protected. For more information on the migration and possible migration scenarios, please visit IT Center Help at the following link: https://help.itc.rwth-aachen.de/en/service/t4ncceheru46/article/ced03aa4e9c745f993c27b5e58d42156/ We thank you for your understanding and cooperation.
Seit heute gibt es vermehrt Meldungen darüber, dass Sophos die Datei ProcessDump.exe im Cisco Jabber Verzeichnis als PUA (Potential unwanted Program) erkennt. EIn Sample wurde zur Prpfung als möglichen False/Positive an Sophos geschickt. Administrierende der Enterprise Console haben als Workaround die Möglichkeit über die "Anti Virus und HIPS Richtlinie" einen Ausschluss für die Datei zu konfigurieren. Sollten Sie keine Enterprise Console einsetzen, kann eine solche Ausnahme auch lokal konfiguriert werden.
Der Sophos Support stuft dieses nicht als False/Positive ein, sondern sagt vielmehr, dass es sich bei ProcessDump.exe selbst zwar nicht um eine Mailware handelt, aber eben um ein PUA (Potential unwanted Program), das ein Angreifer für seine Zwecke verwenden kann. Im konkreten Fall wäre der Anwendungsfall ein Dump von Prozessen und deren Speicherbereich. siehe bspw auch: https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dump-credentials-from-lsass-process-without-mimikatz Insofern bleibt die Lösung für das Verhalten die Konfiguration eines Ausschlusses im On-Access Scan für die Datei "C:\Program Files (x86)\Cisco Systems\Cisco Jabber\x64\ProcessDump.exe"