Nieuws
image

Windows Defender beschouwde Citrix-software als malware

vrijdag 14 augustus 2020, 10:28 door Redactie, 9 reacties

Microsofts virusscanner Windows Defender heeft software van Citrix als malware beschouwd, wat problemen bij organisaties veroorzaakte. Een update voor de antivirussoftware zorgde ervoor dat onder andere de Citrix broker service op de Citrix Delivery Controller als een Trojan werd beschouwd.

De virusscanner dacht dat het om een variant van de Agent Tesla Trojan ging, die allerlei wachtwoorden van systemen steelt. Na de detectie werden de betreffende Citrix broker service en high availability service in quarantaine geplaatst. De Citrix broker service is verantwoordelijk voor het opzetten van verbindingen van endpoint devices naar desktops en applicaties.

Wanneer de broker service niet beschikbaar is kunnen gebruikers geen verbinding meer met applicaties en desktops maken. Dit zorgde voor problemen bij meerdere organisaties. Op Twitter laat iemand weten dat de productieomgeving van zijn organisatie met meer dan drieduizend gebruikers offline ging. Ook op Reddit melden meerdere gebruikers dat hun organisatie is getroffen.

Citrix kwam na ontdekking van het probleem met verschillende workarounds, waaronder het uitschakelen of downgraden van Windows Defender. Inmiddels heeft Microsoft een nieuwe antivirusdefinitie uitgebracht waarmee het probleem wordt verholpen.

Reacties (9)
Reageer met quote
14-08-2020, 10:50 door Anoniem
Ja in veel bedrijven worden nieuwe applicaties en updates van het OS uitgebreid getest voor ze in productie worden
genomen, maar de virus scanner signatures worden ongetest geinstalleerd....
Terwijl het risico op grootschalige problemen bij een fout in de signatures veel groter is dan bij de meeste andere updates.

Maar ja, als in het boekje staat dat je een virusscanner moet draaien dan doe je dat maar he, "cover your ass".
Net als het invoeren van een wachtwoordbeleid uit een boekje.
Reageer met quote
14-08-2020, 10:54 door Bitje-scheef
Heerlijk weer....
Reageer met quote
14-08-2020, 11:26 door Anoniem
Op Twitter laat iemand weten dat de productieomgeving van zijn organisatie met meer dan drieduizend gebruikers offline ging. Ook op Reddit melden meerdere gebruikers dat hun organisatie is getroffen.
Ik neem aan dat Microsoft dan wel zo fatsoenlijk is om de schade te vergoeden? Of is de weigering om verantwoordelijkheid te nemen weer ergens weggestopt in de kleine lettertjes van de gebruikersovereenkomst?
Reageer met quote
14-08-2020, 13:25 door Anoniem
Geen malware, maar Citrix is erg gevoelig voor aanvallen, heeft zijn reputatie tegen. Downgraden van Defender is wel het domste wat je kan doen. Wel knap hoe Citrix dit in de schoenen van Microsoft heeft geschoven.
Reageer met quote
14-08-2020, 14:32 door Anoniem
Door Anoniem: Geen malware, maar Citrix is erg gevoelig voor aanvallen, heeft zijn reputatie tegen. Downgraden van Defender is wel het domste wat je kan doen. Wel knap hoe Citrix dit in de schoenen van Microsoft heeft geschoven.

Ik ben niet voor en ook niet tegen een van deze bedrijven maar de opmerking "Wel knap hoe Citrix...." is er wel een van de onderste plank. Duidelijk mag toch zijn dat Defender hier een verkeerde conclusie heeft getrokken.
Reageer met quote
14-08-2020, 17:27 door Anoniem
Stomme fout ja, maar:
Na de detectie werden de betreffende Citrix broker service en high availability service in quarantaine geplaatst.

Dan zet je die bestanden toch weer terug en vertel je Defender dat er niks mee aan de hand is?
Beetje lastig als je "meer dan 3000 gebruikers" hebt, maar misschien moet je dan eens nadenken of de (gratis) Defender misschien niet beter kan worden vervangen voor een iets professionelere virusscanner?
Reageer met quote
15-08-2020, 07:42 door Anoniem
Elke antivirus gaat eens de mist in, heb al genoeg artikelen erover gelezen. Waarom zou "false positives" dan anders bestaan denkt u?
Reageer met quote
17-08-2020, 07:45 door pe0mot
"disable defender" LOL
Hebben ze bij Citrix geen fatsoenlijke test afdeling voordat ze een nieuwe versie in het veld gooien?
Reageer met quote
17-08-2020, 11:32 door Anoniem
Door Anoniem: Stomme fout ja, maar:
Na de detectie werden de betreffende Citrix broker service en high availability service in quarantaine geplaatst.

Dan zet je die bestanden toch weer terug en vertel je Defender dat er niks mee aan de hand is?
Beetje lastig als je "meer dan 3000 gebruikers" hebt, maar misschien moet je dan eens nadenken of de (gratis) Defender misschien niet beter kan worden vervangen voor een iets professionelere virusscanner?
En een professionelere virusscanner heeft dit probleem nog nooit gehad? Ik heb het bijna bij alle professionelere virusscanners wel eens zien gebeuren.

Door pe0mot: "disable defender" LOL
Hebben ze bij Citrix geen fatsoenlijke test afdeling voordat ze een nieuwe versie in het veld gooien?
Je hebt ook begrepen dat het door een Microsoft defender fout ging? En niet door een Citrix fout? Ik weet dat het soms lastig lezen is voor sommige.
De laatste zin van het artikel: Inmiddels heeft Microsoft een nieuwe antivirusdefinitie uitgebracht waarmee het probleem wordt verholpen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Image
Certified Secure LIVE Online training