3
Defenderfund "HTML-Phish!pz"
Hallo in die Runde!
auf einem unserer Systeme hat der MS-Defender, welchen wir im Firmenumfeld über unsere Softwareverteilung zentral steuern und die Funde aufbereitet bekommen, angeschlagen und den Fund von "HTML/Phish!pz" gemeldet.
Microsoft hält folgende Information zu dem Fund bereit.
Der Fund steht offensichtlich in Beziehung zum Firefox - zumindest wird er im entsprechenden Pfad im Benutzerprofil gemeldet ([PROFILPFAD]\AppData\Local\Mozilla\Firefox\Profiles\f1jhvgnq.default-esr\cache2\entries).
Wir haben bereits Erstmaßnahmen zum Schutz des gesamten Netzwerkes ergriffen (VLANs abgeschaltet, Komplettscan initiiert, betroffene Benutzerkonten deaktiviert) und wollen nun das weitere Vorgehen koordinieren.
Kann jemand Informationen dazu beisteuern:
Vielen Dank im Voraus!
auf einem unserer Systeme hat der MS-Defender, welchen wir im Firmenumfeld über unsere Softwareverteilung zentral steuern und die Funde aufbereitet bekommen, angeschlagen und den Fund von "HTML/Phish!pz" gemeldet.
Microsoft hält folgende Information zu dem Fund bereit.
Der Fund steht offensichtlich in Beziehung zum Firefox - zumindest wird er im entsprechenden Pfad im Benutzerprofil gemeldet ([PROFILPFAD]\AppData\Local\Mozilla\Firefox\Profiles\f1jhvgnq.default-esr\cache2\entries).
Wir haben bereits Erstmaßnahmen zum Schutz des gesamten Netzwerkes ergriffen (VLANs abgeschaltet, Komplettscan initiiert, betroffene Benutzerkonten deaktiviert) und wollen nun das weitere Vorgehen koordinieren.
Kann jemand Informationen dazu beisteuern:
- Wie bedrohlich der gemeldete Fund konkret ist (gerne auf einer Skala von 1-10)
- Ob es sich unter Umständen auch um eine Falschmeldung des Defenders handeln könnte
Vielen Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 93881986597
Url: https://administrator.de/contentid/93881986597
Printed on: April 27, 2024 at 16:04 o'clock
3 Comments
Latest comment
Moin,
Was ist an Phishing bedrohlich? Nun wenn du/der Anwender dem folge leistet, dann kann es gefährlich werden. Ansonsten ist es nur eine Phishingseite. Du kannst ggf. prüfen was zu dem Zeitraum in der Firefox History sich findet. Kann auch ein False Positive sein.
Was ist an Phishing bedrohlich? Nun wenn du/der Anwender dem folge leistet, dann kann es gefährlich werden. Ansonsten ist es nur eine Phishingseite. Du kannst ggf. prüfen was zu dem Zeitraum in der Firefox History sich findet. Kann auch ein False Positive sein.
Moin,
alter Schwede, da habt Ihr ja ganz schön aufgefahren (bzw. abgeschalten.).
Also: Firefox Cache Ordner bezieht sich auf besuchte Webseiten. Cache eben. Heißt: Es wurde eine Phising Webseite in diesem Profil mit dem FF aufgerufen. Ob diese überhaupt geladen wurde (evtl. hat der Defender schon geblockt) oder ob hier Daten auf der Phising Seite eingegeben wurden, sollte der entsprechende Mitarbeiter klären, siehst Du ja am Profilpfad wer es war. Ggf. mal die Historie prüfen, nicht dass der Mitarbeiter doch auf einer Phising Seite war und es womöglich beim Login garnicht mitbekommen hat.
Ansonsten würde ich mich hier nicht so heiß machen, solche Meldungen (FF Cache) habe ich bei verschiedensten Kunden täglich, das kommt auch oft über Werbebanner oder Anzeigen etc. Mein Tipp: Firefox deinstallieren, Appdataordner vollständig löschen (wichtig, weil die verbleiben da, Lesezeichen und weitere FF-Daten kann man dort raussichern), Registry bereinigen und FF neu installieren. Das Restrisiko besteht natürlich, dass über die Schadwebseite irgendwelche Lücken ausgenutzt wurden. Wenn alles aktuell ist, User keine Rechte hatte, etc halte ich es für ein geringes Risiko. Das musst Du aber einschätzen, vorallem welchen Aufwand Du betreiben willst.
Trommel
alter Schwede, da habt Ihr ja ganz schön aufgefahren (bzw. abgeschalten.).
Also: Firefox Cache Ordner bezieht sich auf besuchte Webseiten. Cache eben. Heißt: Es wurde eine Phising Webseite in diesem Profil mit dem FF aufgerufen. Ob diese überhaupt geladen wurde (evtl. hat der Defender schon geblockt) oder ob hier Daten auf der Phising Seite eingegeben wurden, sollte der entsprechende Mitarbeiter klären, siehst Du ja am Profilpfad wer es war. Ggf. mal die Historie prüfen, nicht dass der Mitarbeiter doch auf einer Phising Seite war und es womöglich beim Login garnicht mitbekommen hat.
Ansonsten würde ich mich hier nicht so heiß machen, solche Meldungen (FF Cache) habe ich bei verschiedensten Kunden täglich, das kommt auch oft über Werbebanner oder Anzeigen etc. Mein Tipp: Firefox deinstallieren, Appdataordner vollständig löschen (wichtig, weil die verbleiben da, Lesezeichen und weitere FF-Daten kann man dort raussichern), Registry bereinigen und FF neu installieren. Das Restrisiko besteht natürlich, dass über die Schadwebseite irgendwelche Lücken ausgenutzt wurden. Wenn alles aktuell ist, User keine Rechte hatte, etc halte ich es für ein geringes Risiko. Das musst Du aber einschätzen, vorallem welchen Aufwand Du betreiben willst.
Trommel
Ich habe eben mal noch danach gegoogelt, ggf. ist hier (warum auch immer) doch eine Falschmeldung möglich. Denn die Posts sind relativ aktuell.
https://bugzilla.mozilla.org/show_bug.cgi?id=1872395
https://www.reddit.com/r/browsers/comments/18lxg3w/firefox_cache_phishpz ...
https://superuser.com/questions/1823318/how-to-fix-investigate-windows-d ...
https://answers.microsoft.com/en-us/windows/forum/all/antivirus-similar- ...
Trommel
https://bugzilla.mozilla.org/show_bug.cgi?id=1872395
https://www.reddit.com/r/browsers/comments/18lxg3w/firefox_cache_phishpz ...
https://superuser.com/questions/1823318/how-to-fix-investigate-windows-d ...
https://answers.microsoft.com/en-us/windows/forum/all/antivirus-similar- ...
Trommel