5/5 - (1 vote)

Faux positifs Log4j de Microsoft Defender for Endpoint

 

Bleeping Computer, Le scanner Microsoft Defender Log4j déclenche de fausses alertes positives. Microsoft Defender for Endpoint affiche actuellement des alertes de « falsification du capteur » liées au nouveau scanner Microsoft 365 Defender de l’entreprise pour les processus Log4j.

Les alertes seraient principalement affichées sur les systèmes Windows Server 2016 et avertiraient d'”une altération possible du capteur dans la mémoire a été détectée par Microsoft Defender for Endpoint” créée par un processus OpenHandleCollector.exe.

Jeffrey Appel, Log4j et CVE-2021-44228 : utilisez Microsoft Defender for Endpoint pour l’investigation des logiciels/menaces. Ce blog se concentrera principalement sur le côté Defender for Endpoint (MDE) et non sur les détails techniques de Log4j. Quelques sources recommandées pour des informations Log4j plus approfondies.

CVE Mitre, CVE-2021-44228, Apache Log4j2. Les fonctionnalités JNDI utilisées dans la configuration, les messages de journal et les paramètres ne protègent pas contre LDAP contrôlé par un attaquant et d’autres points de terminaison liés à JNDI. Un attaquant qui peut contrôler les messages de journal ou les paramètres de message de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée. Depuis log4j 2.15.0, ce comportement a été désactivé par défaut.


Microsoft 365 est la marque désignant un abonnement à la dernière version de Microsoft Office et à un ensemble de services Cloud, par opposition aux licences dites perpétuelles qui s'installent pour une durée indéterminée sur un seul ordinateur à la fois.  Avec Microsoft 365, accédez à un monde numérique plus sûr grâce à une protection contre les menaces en ligne et des fonctionnalités de sécurité pour vos fichiers et photos. Microsoft 365 est conçu pour tous les utilisateurs, qu’ils soient en situation de handicap ou non, afin de les aider à être plus productifs sur tout type d’appareil. Accédez à une vaste collection de contenus libres de droits, notamment des modèles, des images stockées, des icônes et des polices.


Log4Shell se présente comme une vulnérabilité informatique critique classée en Zero Day. Cette catégorie de faille se caractérise pour son absence de correctif. Découverte en 2021, cet exploit affecte la bibliothèque logicielle Apache Log4j et cible de nombreux serveurs d'entreprises qui ne sont pas à jour. Les cybercriminels tentent d'exploiter cette faille avant la fin du déploiement des correctifs de sécurité. La bibliothèque logicielle Apache Log4j est largement utilisée dans les services du cloud. Dans la pratique, cette vulnérabilité permet à un cyber-attaquant l'exécution de code arbitraire à distance. En 2022, les serveurs Horizon VMware non patchés et exposés à l'internet sont la cible de cyberattaques d'exploit Log4Shell.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

 

A propos de l'auteur

Retour en haut