Nach Update auf 7.4.0.5782 startet der ProCall Client nicht - Sophos Meldung Schädlicher Exploit

Kenntnisstand

Aktualisierung Dezember 2023

Update zu diesem Artikel verfügbar seit ProCall Enterprise Version 8.3.3: Nach Update auf 7.4.0.5782 startet der ProCall Client nicht - Sophos Meldung Schädlicher Exploit
Wie kann ich das Yealink SDK manuell nachinstallieren?

Juni 2022

ProCall 7 Enterprise

Informationen zu ProCall Enterprise 7.4.1

Im ProCall Release 7.4.1 ( 26.04.2022 ) wurde wegen der unten aufgeführten Gründe, das Yealink SDK (libyealinkusbsdk.dll) für die Gesprächssteuerung nicht mehr bei der Installation mit ausgeliefert.
Bitte beachten Sie, dass auch bei einem Update von 7.4.0 auf 7.4.1 das SDK nicht mehr mit installiert wird.

Yealink arbeitet mit Hochdruck an einer Lösung der falsch positiven Virenwarnungen bei Verwendung von "sophos Central Intercept X Advanced mit XDR".

Sobald eine Lösung verfügbar ist, wird das Yealink SDK auch wieder offizieller Bestandteil von ProCall 7 Enterprise.

Beobachtung

Nach dem Update des ProCall Clients auf Version 7.4.0.5782 startet der Client nicht mehr. 

Sophos meldet "Schädlicher Exploit ROP abgewehrt in estos ProCall"

Ursache

In der ProCall Version 7.4.0.5782 ist die neue Funktion "Yealink Headset HID Unterstützung" eingebaut, hierfür wurde ein Yealink SDK eingebaut.

C:\Program Files (x86)\estos\ProCall\driver\x86\Yealink → libyealinkusbsdk.dll

Was hat estos unternommen?

Wir haben die DLL mit Virustotal auf Gefährdungen überprüft, dabei wurden keine schädlichen Elemente gefunden:

https://www.virustotal.com/gui/file/0304941c189536da808287cace6418591b64be97e044382e318f4b4bd56a8154

Wir haben uns an Yealink gewendet, die Rückmeldung hierzu steht noch aus.

Was können Sie unternehmen?

Melden Sie dieses Verhalten an Sophos, damit diese DLL auf die Whitelist kommt.

Workaround

Es gibt folgende drei Möglichkeiten: 

• Erstellen Sie eine Ausnahme in Sophos.
• Setzen Sie einen Registry Key, der das Laden des SDK beim Starten des ProCall Clients verhindert:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\ESTOS\UCServer4\CtiMain]
"AVAudioExcludeHidSdk0"="Yealink"

• Löschen Sie am Client folgenden Ordner mit dem SDK (nicht updatesicher):

C:\Program Files (x86)\estos\ProCall\driver\x86\Yealink