Defenderfund "HTML-Phish!pz"
Hallo in die Runde!
auf einem unserer Systeme hat der MS-Defender, welchen wir im Firmenumfeld über unsere Softwareverteilung zentral steuern und die Funde aufbereitet bekommen, angeschlagen und den Fund von "HTML/Phish!pz" gemeldet.
Microsoft hält folgende Information zu dem Fund bereit.
Der Fund steht offensichtlich in Beziehung zum Firefox - zumindest wird er im entsprechenden Pfad im Benutzerprofil gemeldet ([PROFILPFAD]\AppData\Local\Mozilla\Firefox\Profiles\f1jhvgnq.default-esr\cache2\entries).
Wir haben bereits Erstmaßnahmen zum Schutz des gesamten Netzwerkes ergriffen (VLANs abgeschaltet, Komplettscan initiiert, betroffene Benutzerkonten deaktiviert) und wollen nun das weitere Vorgehen koordinieren.
Kann jemand Informationen dazu beisteuern:
Vielen Dank im Voraus!
auf einem unserer Systeme hat der MS-Defender, welchen wir im Firmenumfeld über unsere Softwareverteilung zentral steuern und die Funde aufbereitet bekommen, angeschlagen und den Fund von "HTML/Phish!pz" gemeldet.
Microsoft hält folgende Information zu dem Fund bereit.
Der Fund steht offensichtlich in Beziehung zum Firefox - zumindest wird er im entsprechenden Pfad im Benutzerprofil gemeldet ([PROFILPFAD]\AppData\Local\Mozilla\Firefox\Profiles\f1jhvgnq.default-esr\cache2\entries).
Wir haben bereits Erstmaßnahmen zum Schutz des gesamten Netzwerkes ergriffen (VLANs abgeschaltet, Komplettscan initiiert, betroffene Benutzerkonten deaktiviert) und wollen nun das weitere Vorgehen koordinieren.
Kann jemand Informationen dazu beisteuern:
- Wie bedrohlich der gemeldete Fund konkret ist (gerne auf einer Skala von 1-10)
- Ob es sich unter Umständen auch um eine Falschmeldung des Defenders handeln könnte
Vielen Dank im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93881986597
Url: https://administrator.de/forum/defenderfund-html-phishpz-93881986597.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
3 Kommentare
Neuester Kommentar
Moin,
alter Schwede, da habt Ihr ja ganz schön aufgefahren (bzw. abgeschalten.).
Also: Firefox Cache Ordner bezieht sich auf besuchte Webseiten. Cache eben. Heißt: Es wurde eine Phising Webseite in diesem Profil mit dem FF aufgerufen. Ob diese überhaupt geladen wurde (evtl. hat der Defender schon geblockt) oder ob hier Daten auf der Phising Seite eingegeben wurden, sollte der entsprechende Mitarbeiter klären, siehst Du ja am Profilpfad wer es war. Ggf. mal die Historie prüfen, nicht dass der Mitarbeiter doch auf einer Phising Seite war und es womöglich beim Login garnicht mitbekommen hat.
Ansonsten würde ich mich hier nicht so heiß machen, solche Meldungen (FF Cache) habe ich bei verschiedensten Kunden täglich, das kommt auch oft über Werbebanner oder Anzeigen etc. Mein Tipp: Firefox deinstallieren, Appdataordner vollständig löschen (wichtig, weil die verbleiben da, Lesezeichen und weitere FF-Daten kann man dort raussichern), Registry bereinigen und FF neu installieren. Das Restrisiko besteht natürlich, dass über die Schadwebseite irgendwelche Lücken ausgenutzt wurden. Wenn alles aktuell ist, User keine Rechte hatte, etc halte ich es für ein geringes Risiko. Das musst Du aber einschätzen, vorallem welchen Aufwand Du betreiben willst.
Trommel
alter Schwede, da habt Ihr ja ganz schön aufgefahren (bzw. abgeschalten.).
Also: Firefox Cache Ordner bezieht sich auf besuchte Webseiten. Cache eben. Heißt: Es wurde eine Phising Webseite in diesem Profil mit dem FF aufgerufen. Ob diese überhaupt geladen wurde (evtl. hat der Defender schon geblockt) oder ob hier Daten auf der Phising Seite eingegeben wurden, sollte der entsprechende Mitarbeiter klären, siehst Du ja am Profilpfad wer es war. Ggf. mal die Historie prüfen, nicht dass der Mitarbeiter doch auf einer Phising Seite war und es womöglich beim Login garnicht mitbekommen hat.
Ansonsten würde ich mich hier nicht so heiß machen, solche Meldungen (FF Cache) habe ich bei verschiedensten Kunden täglich, das kommt auch oft über Werbebanner oder Anzeigen etc. Mein Tipp: Firefox deinstallieren, Appdataordner vollständig löschen (wichtig, weil die verbleiben da, Lesezeichen und weitere FF-Daten kann man dort raussichern), Registry bereinigen und FF neu installieren. Das Restrisiko besteht natürlich, dass über die Schadwebseite irgendwelche Lücken ausgenutzt wurden. Wenn alles aktuell ist, User keine Rechte hatte, etc halte ich es für ein geringes Risiko. Das musst Du aber einschätzen, vorallem welchen Aufwand Du betreiben willst.
Trommel
Ich habe eben mal noch danach gegoogelt, ggf. ist hier (warum auch immer) doch eine Falschmeldung möglich. Denn die Posts sind relativ aktuell.
https://bugzilla.mozilla.org/show_bug.cgi?id=1872395
https://www.reddit.com/r/browsers/comments/18lxg3w/firefox_cache_phishpz ...
https://superuser.com/questions/1823318/how-to-fix-investigate-windows-d ...
https://answers.microsoft.com/en-us/windows/forum/all/antivirus-similar- ...
Trommel
https://bugzilla.mozilla.org/show_bug.cgi?id=1872395
https://www.reddit.com/r/browsers/comments/18lxg3w/firefox_cache_phishpz ...
https://superuser.com/questions/1823318/how-to-fix-investigate-windows-d ...
https://answers.microsoft.com/en-us/windows/forum/all/antivirus-similar- ...
Trommel