VMware Carbon Black Cloud Endpoint – Zunahme der Codeinjektionswarnungen mit CreateRemoteThread oder NtQueueApcThread

Summary: In diesem Artikel wird ein Problem in VMware Carbon Black Cloud Endpoint beschrieben, das die Anzahl der Codeinjektionswarnungen mithilfe von CreateRemoteThread oder NTQueueApcThread erhöht. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Betroffene Produkte:

  • VMware Carbon Black Cloud Endpoint

Betroffene Versionen:

  • v3.7.0.1253

Cause

Nach dem Upgrade oder der Installation der Sensorversion 3.7.0.1253 kann eine Zunahme von Warnmeldungen zur Codeinjektion für die Funktionen „CreateRemoteThread“ oder „NtQueueApcThread“ beobachtet werden.

Beispielwarnmeldung

Hinweis: In diesem Beispiel meldet VMware Carbon Black Cloud, dass svchost.exe Code in einen Systemprozess csrss.exe injiziert hat.

Resolution

Der Support untersucht die Änderungen, die den Anstieg der beobachteten Warnmeldungen verursacht haben, für eine dauerhafte Korrektur.

Sie können die Inject-Code-Warnungen , die für die Funktionen von beobachtet werden, sicher verwerfen CreateRemoteThread oder NtQueueApcThreadübergeben.

So überprüfen und schließen Sie diese Warnungen

  1. Navigieren Sie in einem Webbrowser zu [REGION].conferdeploy.net.
    Hinweis: [REGION] = Region des Mandanten
  2. Melden Sie sich bei der VMware Carbon Black Cloud an.
    Anmelden
  3. Klicken Sie im linken Menübereich auf Alerts.
    Warnmeldungen
  4. Klicken Sie auf die Karotte, um die Warnmeldung zu erweitern.
    Warnmeldung erweitern
  5. Klicken Sie auf das Symbol Investigate.
    Untersuchen
  6. Überprüfen Sie, ob die aufgerufene Funktion entweder CreateRemoteThread oder NtQueueApcThread ist.
    Funktion überprüfen
    Hinweis: Wenn für eine andere Funktion als CreateRemoteThread oder NtQueueApcThread Warnungen zum Einfügen von Code beobachtet werden, wenden Sie sich an den Support, um weitere Untersuchungen durchzuführen. So erhalten Sie Support für VMware Carbon Black Cloud Endpoint
  7. Erweitern Sie das entsprechende Ereignis und klicken Sie auf Dismiss Alert.
    Warnmeldung verwerfen
  8. Klicken Sie auf Dismiss.
    Verwerfen
    Hinweis: Sie können alle zukünftigen Vorkommen verwerfen, indem Sie das Feld neben Wenn diese Warnmeldung in der Zukunft auftritt, sie automatisch von allen Geräten ausschließen aktivieren.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.