VMware Carbon Black Cloud Endpoint Aumento de alertas de inyección de código mediante CreateRemoteThread o NtQueueApcThread

Summary: En este artículo, se analiza un problema en VMware Carbon Black Cloud Endpoint aumenta las alertas de inserción de código mediante CreateRemoteThread o NTQueueApcThread.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Productos afectados:

  • VMware Carbon Black Cloud Endpoint

Versiones afectadas:

  • v3.7.0.1253

Cause

Luego de actualizar o instalar la versión 3.7.0.1253 del sensor, es posible que vea un aumento en las alertas observadas para la inyección de código; para ello, llame a las funciones CreateRemoteThread o NtQueueApcThread.

Ejemplo de alerta

Nota: En este ejemplo, VMware Carbon Black Cloud informa que svchost.exe insertó código en un proceso del sistema csrss.exe.

Resolution

El equipo de soporte está investigando los cambios que causaron el aumento de las alertas observadas para darles una corrección permanente.

Puede descartar sin problemas las alertas de código de inserción que se observan para las funciones de CreateRemoteThread o NtQueueApcThread.

Para verificar y descartar estas alertas

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
    Nota: [REGION] = Región del grupo de usuarios
  2. Sign In en VMware Carbon Black Cloud.
    Inicio de sesión
  3. En el panel de menú izquierdo, haga clic en Investigate.
    Alerts
  4. Haga clic en la opción para expandir la alerta.
    Expanda la alerta
  5. Haga clic en el icono Investigate.
    Investigar
  6. Compruebe que la función a la que se llama sea CreateRemoteThread o NtQueueApcThread.
    Verificar la función
    Nota: Si se observan alertas de inserción de código para cualquier otra función además de CreateRemoteThread o NtQueueApcThread, comuníquese con el soporte técnico para investigar más a fondo. Consulte Cómo solicitar soporte para Terminal de nube VMware Carbon Black.
  7. Expanda el evento correspondiente y haga clic en Dismiss Alert.
    Descartar alerta
  8. Haga clic en Dismiss
    Descartar
    Nota: Puede optar por descartar todas las instancias futuras seleccionando el campo junto a Si esta alerta se produce en el futuro, descartarla automáticamente de todos los dispositivos.

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.