srheck
Goto Top

Defenderfund "HTML-Phish!pz"

Hallo in die Runde!


auf einem unserer Systeme hat der MS-Defender, welchen wir im Firmenumfeld über unsere Softwareverteilung zentral steuern und die Funde aufbereitet bekommen, angeschlagen und den Fund von "HTML/Phish!pz" gemeldet.
Microsoft hält folgende Information zu dem Fund bereit.

Der Fund steht offensichtlich in Beziehung zum Firefox - zumindest wird er im entsprechenden Pfad im Benutzerprofil gemeldet ([PROFILPFAD]\AppData\Local\Mozilla\Firefox\Profiles\f1jhvgnq.default-esr\cache2\entries).
Wir haben bereits Erstmaßnahmen zum Schutz des gesamten Netzwerkes ergriffen (VLANs abgeschaltet, Komplettscan initiiert, betroffene Benutzerkonten deaktiviert) und wollen nun das weitere Vorgehen koordinieren.

Kann jemand Informationen dazu beisteuern:
  • Wie bedrohlich der gemeldete Fund konkret ist (gerne auf einer Skala von 1-10)
  • Ob es sich unter Umständen auch um eine Falschmeldung des Defenders handeln könnte

Vielen Dank im Voraus!

Content-Key: 93881986597

Url: https://administrator.de/contentid/93881986597

Printed on: July 21, 2024 at 01:07 o'clock

Member: DerMaddin
DerMaddin Jan 11, 2024 at 13:59:25 (UTC)
Goto Top
Moin,

Was ist an Phishing bedrohlich? Nun wenn du/der Anwender dem folge leistet, dann kann es gefährlich werden. Ansonsten ist es nur eine Phishingseite. Du kannst ggf. prüfen was zu dem Zeitraum in der Firefox History sich findet. Kann auch ein False Positive sein.
Member: Trommel
Trommel Jan 11, 2024 updated at 14:28:23 (UTC)
Goto Top
Moin,

alter Schwede, da habt Ihr ja ganz schön aufgefahren (bzw. abgeschalten.).

Also: Firefox Cache Ordner bezieht sich auf besuchte Webseiten. Cache eben. Heißt: Es wurde eine Phising Webseite in diesem Profil mit dem FF aufgerufen. Ob diese überhaupt geladen wurde (evtl. hat der Defender schon geblockt) oder ob hier Daten auf der Phising Seite eingegeben wurden, sollte der entsprechende Mitarbeiter klären, siehst Du ja am Profilpfad wer es war. Ggf. mal die Historie prüfen, nicht dass der Mitarbeiter doch auf einer Phising Seite war und es womöglich beim Login garnicht mitbekommen hat.

Ansonsten würde ich mich hier nicht so heiß machen, solche Meldungen (FF Cache) habe ich bei verschiedensten Kunden täglich, das kommt auch oft über Werbebanner oder Anzeigen etc. Mein Tipp: Firefox deinstallieren, Appdataordner vollständig löschen (wichtig, weil die verbleiben da, Lesezeichen und weitere FF-Daten kann man dort raussichern), Registry bereinigen und FF neu installieren. Das Restrisiko besteht natürlich, dass über die Schadwebseite irgendwelche Lücken ausgenutzt wurden. Wenn alles aktuell ist, User keine Rechte hatte, etc halte ich es für ein geringes Risiko. Das musst Du aber einschätzen, vorallem welchen Aufwand Du betreiben willst.

Trommel
Member: Trommel
Trommel Jan 11, 2024 updated at 14:33:21 (UTC)
Goto Top