Microsoft Defender (agentless) erkennt Palo Alto-Bibliotheken als Malware

Microsoft Defender Agentless erkennt vorgefertigte Palo Alto-Bibliotheken als Malware (Trojan:Linux/Wacatac). Im Folgenden finden Sie einige Beispiele für die Pfade, die in der Warnung gemeldet werden.

• hdd/s3iy2dlz.qh4/releases/10.1.10/RPMS
• hdd/s0gyzo2f.ueu/releases/10.1.10/RPMS
• hdd/toujmepf.b2o/releases/10.1.10/RPMS
• hdd/yk0rtetk.5ys/base/10.2.0/RPMS
• hdd/yk0rtetk.5ys/releases/10.2.8/RPMS
• hdd/yk0rtetk.5ys/releases/10.2.8-h3/RPMS

• PA-VM Azure

Palo Alto Networks hat die folgende Antwort vom Microsoft-Kundendienst- und Supportteam erhalten. 

"Microsoft verwendet eine Vielzahl von Erkennungsmethoden, einschließlich Verhaltensanalyse und maschinellem Lernen, um mögliche Malware zu identifizieren. Gelegentlich können diese Erkennungen zu falsch positiven Erkennungen legitimer Dateien führen. Diese Fälle sind oft das Ergebnis von Microsofts Versuch, einen besseren Schutz vor noch unbekannter Malware zu verbessern.Die Korrekturen variieren, führen aber oft dazu, dass die Eigenschaften und Verhaltensweisen verfeinert werden, nach denen wir als Indikatoren für Malware suchen."

Palo Alto Networks empfiehlt seinen Kunden, eine erste Untersuchung mit dem Microsoft-Supportteam zu initiieren. Die genaue Datei muss aus dem Azure-Portal extrahiert und zur weiteren Untersuchung in das Microsoft-Ticket hochgeladen werden. 

Bitte beachten Sie, dass diese Malware-Warnungen für Palo Alto Networks von entscheidender Bedeutung sind und uns sofort zur Kenntnis gebracht werden müssen, sobald die Untersuchung als richtig positiv eingestuft wurde.