Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Was fängt man nun als Normalnutzer mit diesen Informationen an, wenn man *ohne installiertes 3CX* am angegebenen Ort mehrere Dateien mit der angegebenen Namensstruktur findet?
Bei dem Link steht u.a. "Dies beinhaltet auch keine Garantien hinsichtlich der Fehlalarmraten sowie der Abdeckung für diese gesamte Malware-Familie und eventuelle Varianten.". Mit dem "sofort löschen" wäre ich da vorsichtig. Wenn die "gefundenen" Dateien schon 1-2 Wochen alt sind, kannst du dich sowieso zurücklehnen und dem neuen Botnetz-Mitglied bei der Arbeit zusehen.
Diese Informationen sind gelinde gesagt, eine Frechheit! Natürlich ist das mit Sicherheit eine forensische Informationen, die zwar sehr wichtig sind doch dem Enduser bringen die überhaupt nichts. Das beschriebene Verzeichnis ist voller Dateien bei mir, woher soll der User wissen ob und wenn ja welche Datei überhaupt verseucht ist?
Hier fehlt eindeutig ein Tool von 3CX zur sicheren Entfernung und deinstallation des VoIP Clients ...
Nochmals Klartext:
Ist der PC eindeutig befallen, hat man bereits ganz andere Sorgen, als "ein Tool von 3CX zur sicheren Entfernung und deinstallation des VoIP Clients" zu bekommen.
Ist er nicht befallen, weil man z.B. das 3CX-Auto-Update gar nicht aktiviert hatte, muss man gar nichts unternehmen.
Wieso sollte eigentlich ein VoIP-Client für eine einzelne TK-Anlage ständig Updates bekommen? Ist es etwa so wie z.B. bei Adobe, wo der Reader stündlich nachschaut, was man so macht?
Diese Informationen sind gelinde gesagt, eine Frechheit! Natürlich ist das mit Sicherheit eine forensische Informationen, die zwar sehr wichtig sind doch dem Enduser bringen die überhaupt nichts. Das beschriebene Verzeichnis ist voller Dateien bei mir, woher soll der User wissen ob und wenn ja welche Datei überhaupt verseucht ist?
Hier fehlt eindeutig ein Tool von 3CX zur sicheren Entfernung und deinstallation des VoIP Clients ...
1. Die Untersuchung läuft noch. Es sind nur Zwischenergebnisse. Daher kann man ein solches Tool nicht erwarten.
2. Die Informationen sind sehr spezifisch weil dies so sein muss. Als Kunde hat man in der Regel einen Partner, der sich darum kümmern sollte, sollte das Szstem befallen sein.
@MrSenser Du hast natürlich recht ... Besser solch eine Information als "Schweigen im Walde" - ganz klar. Nur den Partner möchte ich sehen, der auch nur annähernd mit diesen Informationen den möglichen Befall identifizieren kann. Aber richtig ... es ist sehr schwer hier den richtigen Weg zu finden.
Wir haben in unseren Testsystemen das Nachladen von Schadcode durch die beiden befallenen DLLs eindeutig feststellen können.
Da unsere Systeme nur ein Whitelisting erlauben, wurden diese Downloads aber gestoppt.
Wer allerdings eine andere Sicherheitsstrategie fährt, hat (!) damit zu rechnen, dass Schadcode auf dem Rechner vorhanden ist!!!
Gaengige Test/Virensoftware ala Desinfect, Malwarebytes oder auch der Sophos Virenclient haben zwar die beiden DLLs entfernt, den Schadcode (nach bewusster Öffnung der Sicherheitsstrategie) NICHT entdeckt!!!
Ok, die jeweiligen Virenpattern (unsere Tests) waren von vor-WE und möglicherweise erkennen die das jetzt.
Aber die Hand ins Feuer legen würde ich nicht.
Bedeutet für alle 3cx User (mit den betroffenen Desktop App Clients):
RECHNER so NICHT MEHR VERWENDEN!
FAZIT:
Die alleinige De-Installation (was mit dem Microsoft „Troubleshooter“ Tool problemlos geht, auch wenn die Installer-MSI bereits gelöscht wurde etc.) bzw. Quarantäne der beiden DLLs fuehrt also NICHT zu einem sicheren System!!!
Und DAS sagt 3cx so nicht wirklich! Und ja, hier sind die in meinen Augen unverantwortlich!
[English]Kürzlich gab es eine Warnung an Kunden des Telefonanlagen-Anbieters 3CX, die eine SQL-Datenbank für CRM-Zwecke in die Software eingebunden haben. Ich hatte über den Sachverhalt im Blog-Beitrag 3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023) berichtet. Nutzer der 3CX-Sof
Da zwischen 21. April und heute hier nichts weiter zu dem Thema gepostet wurde: Sind denn die gängigen Virenscanner inzwischen in der Lage, infizierte Dateien im \TxR-Ordner und anderswo zu erkennen und diese ggfs. zu bereinigen?
Oder gibt es inzwischen Drittanbieter-Tools, die die Dateien auf ungewöhliche Einträge überprüfen, diese auflisten und ggfs. entfernen können, ohne dass das System dann unbenutzbar wird? Die "TxR.?.regtrans-ms"-Dateien haben doch einen regulären Zweck, oder?
VoIP communications company 3CX warned customers today to disable SQL database integrations due to potential risks associated with what it describes as a potential vulnerability.
[English]Warnung an Kunden des Telefonanlagen-Anbieters 3CX, die eine SQL-Datenbank für CRM-Zwecke in die Software eingebunden haben. Der Hersteller empfiehlt, diese SQL-Datenbankintegration vorübergehend zu deaktivieren. Es gibt zwar keine Details, was dort sicherheitstechnisch im Argen liegt, aber
Auch bei dieser Lücke (vom 11. Oktober 2023) hat 3CX zwei Monate lang nicht angemessen auf die Meldung reagiert, nicht mal auf die Kontaktaufnahme des CERT.
Gibt es da keine rechtlichen Vorgaben, wie zu reagieren ist und ggfs. Strafen bei Ausbleiben der Reaktionen?