Microsoft Defender (sans agent) détectant les bibliothèques Palo Alto en tant que logiciels malveillants

Microsoft Defender Agentless détectant les bibliothèques prédéfinies de Palo Alto en tant que logiciels malveillants (cheval de Troie : Linux/Wacatac). Vous trouverez ci-dessous quelques exemples des chemins signalés dans l’alerte.

• hdd/s3iy2dlz.qh4/releases/10.1.10/RPMS
• hdd/s0gyzo2f.ueu/releases/10.1.10/RPMS
• hdd/toujmepf.b2o/releases/10.1.10/RPMS
• hdd/yk0rtetk.5ys/base/10.2.0/RPMS
• hdd/yk0rtetk.5ys/releases/10.2.8/RPMS
• hdd/yk0rtetk.5ys/releases/10.2.8-h3/RPMS

• PA-VM Azure

Palo Alto Networks a obtenu la réponse ci-dessous de l’équipe du service clientèle et du support de Microsoft. 

« Microsoft utilise une variété de méthodes de détection, y compris l’analyse comportementale et l’apprentissage automatique, pour identifier les logiciels malveillants potentiels. À l’occasion, ces détections peuvent produire des détections faussement positives de fichiers légitimes. Ces cas sont souvent le résultat de la tentative de Microsoft d’améliorer les protections contre les logiciels malveillants encore inconnus.Les correctifs varient, mais permettent souvent d’affiner les propriétés et les comportements que nous recherchons en tant qu’indicateurs de logiciels malveillants.

Palo Alto Networks recommande à ses clients de lancer une enquête initiale auprès de l’équipe de support Microsoft. Le fichier exact doit être extrait du portail Azure et chargé dans le ticket Microsoft pour une enquête plus approfondie. 

Veuillez noter que ces alertes de logiciels malveillants sont critiques pour Palo Alto Networks et doivent être portées à notre attention immédiatement une fois que l’enquête a été conclue comme étant véritablement positive.