Microsoft Defender (sin agente) que detecta bibliotecas de Palo Alto como malware

Microsoft Defender Agentless detecta bibliotecas preconstruidas de Palo Alto como malware (Trojan:Linux/Wacatac). A continuación se muestran algunos ejemplos de las rutas notificadas en la alerta.

• hdd/s3iy2dlz.qh4/releases/10.1.10/RPMS
• hdd/s0gyzo2f.ueu/releases/10.1.10/RPMS
• hdd/toujmepf.b2o/releases/10.1.10/RPMS
• hdd/yk0rtetk.5ys/base/10.2.0/RPMS
• hdd/yk0rtetk.5ys/releases/10.2.8/RPMS
• hdd/yk0rtetk.5ys/releases/10.2.8-h3/RPMS

• PA-VM Azure

Palo Alto Networks ha obtenido la siguiente respuesta del equipo de soporte y servicio al cliente de Microsoft. 

"Microsoft utiliza una variedad de métodos de detección, incluido el análisis de comportamiento y el aprendizaje automático, para identificar posible malware. En ocasiones, estas detecciones pueden producir detecciones de falsos positivos de archivos legítimos. Estos casos suelen ser el resultado de un intento de Microsoft de perfeccionar las protecciones contra el malware aún desconocido.Las correcciones varían, pero a menudo dan como resultado el refinamiento de las propiedades y comportamientos que buscamos como indicadores de malware".

Palo Alto Networks recomienda a nuestros clientes que inicien una investigación inicial con el equipo de soporte de Microsoft. El archivo exacto debe extraerse del Portal de Azure y cargarse en el vale de Microsoft para una investigación más detallada. 

Tenga en cuenta que estas alertas de malware son críticas para Palo Alto Networks y deben ser comunicadas a nuestro conocimiento inmediatamente una vez que se haya concluido que la investigación es True Positive.