Tenemos instalado AMP de Cisco en varios servididores y recibimos alerta de seguridad
Hola, tenemos teamviewer instalado en varios servidores Windows para controlarlos remotamente. En estos servidores tenemos también instalado el software de seguridad AMP de Cisco. Este software nos avisa de comportamiento anómalo del fichero update.exe contenido en la carpeta de instalación de Teamviewer.
La pregunta es si esto es un falso positivo o existe algún tipo de problema de seguridad con el mencionado fichero.
"BCE Cyber Security-Non SSC LIT Dear Team we found large number of AMP alerts detecting and quarantining update.exe file of TeamViwer. After sandbox analysis we found that this file is compromised, steeling sensitive information and communicating with a poor reputed IP in United state. If you are using TeamViewer and AMP is not installed, take action from your AV side or with computer management tool to delete this file. Normal path is C:\Program Files (x86)\TeamViewer\Update\update.exe.: "
Respuestas
-
Hola @Tecla
gracias por tu comentario. Bienvenid@ a la comunidad en español!
Es un falso positivo. Me han reportado hoy un caso parecido y mis compañeros de seguridad lo han comprobado.
Mis compañeros me han comentado que al descargar la actualización a través de nuestros sitios oficiales (del client por ej), se pueden extraer los valores HASH para compararlos.
Espero que esto sirva de ayuda
Un saludo y feliz finde Alena :)
Spanish Community Moderator :)
0
