VMware Carbon Black Cloud Endpoint: aumento degli avvisi di aggiunta di codice tramite CreateRemoteThread o NtQueueApcThread

Summary: Questo articolo descrive un problema in VMware Carbon Black Cloud Endpoint che aumenta gli avvisi di aggiunta di codice tramite CreateRemoteThread o NTQueueApcThread.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Prodotti interessati:

  • VMware Carbon Black Cloud Endpoint

Versioni interessate:

  • v3.7.0.1253

Cause

Dopo l'aggiornamento o l'installazione della versione 3.7.0.1253 del sensore, è possibile che si verifichi un aumento degli avvisi osservati per l'aggiunta di codice chiamando le funzioni CreateRemoteThread o NtQueueApcThread.

Avviso di esempio

Nota: In questo esempio, VMware Carbon Black Cloud segnala che svchost.exe ha inserito codice in un processo di sistema csrss.exe.

Resolution

Il supporto sta esaminando le modifiche che hanno causato l'aumento degli avvisi osservati per una correzione permanente.

È possibile ignorare in modo sicuro gli avvisi di codice inserito osservati per le funzioni di CreateRemoteThread oppure NtQueueApcThread.

Per verificare e ignorare questi avvisi

  1. In un web browser, accedere a [REGION].conferdeploy.net.
    Nota: [REGION] = regione del tenant
  2. Accedere a VMware Carbon Black Cloud.
    Informazioni di accesso
  3. Nel riquadro dei menu a sinistra, cliccare su Alerts.
    Alerts
  4. Cliccare sulla carota per espandere l'avviso.
    Espandi l'avviso
  5. Cliccare sull'icona Investigate.
    Investigare
  6. Verificare che la funzione chiamata sia CreateRemoteThread o NtQueueApcThread.
    Funzione di verifica
    Nota: Se vengono osservati avvisi di codice inserito per qualsiasi altra funzione oltre a CreateRemoteThread o NtQueueApcThread, contattare il supporto per ulteriori indagini. Fare riferimento a Come ottenere supporto per VMware Carbon Black Cloud Endpoint.
  7. Espandere l'evento corrispondente e cliccare su Dismiss Alert.
    Ignora avviso
  8. Cliccare su Dismiss
    Licenziare
    Nota: È possibile scegliere di ignorare tutte le occorrenze future selezionando il campo accanto a Se questo avviso si verifica in futuro, ignorarlo automaticamente da tutti i dispositivi.

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.