Traps™ 4.0 Release Notes

Release 4.0.2

Revision Date: July 11, 2017

Palo Alto Networks Traps is a full, preemptive solution that replaces antiquated antivirus solutions to protect workstations, servers, and virtual desktop infrastructures (VDIs) from a wide threat landscape. The Traps protection software is effective at blocking the most threatening attack vectors, enabling live prevention of malicious file executions based on the WildFire threat intelligence database, restricting the execution of unreliable files from external sources, and preventing attacks based on known or obfuscated exploits.

Review important information about the Traps 4.0 release including new features introduced in this release, workarounds for open issues, and resolved issues. For the latest version of these release notes and related documentation, refer to the Palo Alto Networks Traps 4.0 technical documentation portal.

Traps 4.0 Release Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Features Introduced in Traps 4.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Features Introduced in Traps 4.0.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Features Introduced in Traps 4.0.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Features Introduced in Traps 4.0.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Changes to Default Behavior  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Changes to Default Behavior in Traps 4.0.2  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Changes to Default Behavior in Traps 4.0.1  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Changes to Default Behavior in Traps 4.0.0  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Security Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Operational Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Monitoring Changes  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Associated Software Versions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Limitations  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Incompatible Operating Systems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Incompatible Security Products. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Known Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Traps 4.0.2 Addressed Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Traps 4.0.1 Addressed Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Traps 4.0.0 Addressed Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Getting Help  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  1

  Table of Contents

2 •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0 Release Information

For the most up‐to‐date information, refer to the online version of the Traps 4.0 Release Notes on the Technical Documentation portal.

Features Introduced in Traps 4.0

Changes to Default Behavior

Upgrade/Downgrade Considerations

Associated Software Versions

Limitations

Known Issues

Traps 4.0.2 Addressed Issues

Traps 4.0.1 Addressed Issues

Traps 4.0.0 Addressed Issues

Getting Help

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  3

Features Introduced in Traps 4.0   Traps 4.0 Release Information

Features Introduced in Traps 4.0

Features Introduced in Traps 4.0.2

Features Introduced in Traps 4.0.1

Features Introduced in Traps 4.0.0

Features Introduced in Traps 4.0.2

The following table describes features released in Traps 4.0.2.

Features Introduced in Traps 4.0.1

The following table describes features released in Traps 4.0.1.

New Feature Description

Support for Duplicate Hostnames

To support duplicate hostnames in non‐domain environments where multiple endpoints can use the same hostname, the Traps agent now assigns a unique ID to all endpoints. With this enhancement, you can view the unique ID for each endpoint in the ESM Console 4.0.2 and use the ID to apply policy, agent settings, and agent action rules to specific endpoints. To take advantage of support for duplicate hostnames, you must upgrade the Traps agents which share the same hostname to Traps 4.0.2.

Granular Agent Tampering Protection

The ESM Console 4.0.2 now provides more granular control over the type of service protection Traps enforces. Now, when you configure an agent settings rule to enable Agent Tampering Protection (formerly Service Protection), you can select one or more targets for Traps to protect: processes, registry values, files, or services. With this feature, you can also configure the granular protection settings for multiple (or all) endpoints whereas in earlier releases, you could configure the granular protection settings only on individual endpoints using Cytool. 

Active Directory Object Support for Mac Endpoints

With ESM 4.0.2, you can now configure rules to apply to Active Directory users, computers, groups, and organizational units for Mac endpoints running any supported Traps agent version. Previously, you could apply rules only to Mac endpoints on which an agent has registered with the ESM Server. 

New Feature Description

WF500 Appliance Deployment Enhancement

To simplify the deployment of the WF‐500 appliance, the ESM installers have been enhanced to include the required WF‐500 Root CA certificate. Now, with Traps ESM 4.0.1 or later, the installers automatically install the certificate as a trusted root certification authority during installation. Note that Traps ESM 4.0.0 still requires you to obtain and manually install the certificate. 

Agent Capacity Enhancement

In Traps 4.0.1, each ESM Server now supports up to 30,000 agents and each database supports up to 150,000 agents. The increased capacity enables you to manage nearly double the number of agents available in previous releases. 

4  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0 Release Information Features Introduced in Traps 4.0  

Features Introduced in Traps 4.0.0

The following topics describe features released in Traps 4.0.0.

Supported Platforms

Security Features

Operational Features

Infrastructure Features

Supported Platforms

LDAP over SSL Support The ESM now communicates with the LDAP server over SSL (LDAPS) using TLS/SSL 1.2 and uses an unsecure connection only if the LDAP server refuses the SSL connection. To take advantage of the new secure communication method, you must upgrade your ESM to version 4.0.1 and configure Active Directory to communicate with the ESM using LDAPS.

SQL over SSL Support The ESM now supports secure communication with an SQL Server Enterprise or SQL Server Standard database using TLS/SSL 1.2. For even stricter security, you can optionally configure the ESM to validate that the certificate the database presents matches a specific certificate installed on the ESM as a trusted root certificate authority. To take advantage of the new secure communication method, you must install ESM 4.0.1 and select the new options during installation. For upgrade considerations, see the Traps 4.0 New Feature Guide.

New Feature Description

Traps for Mac Traps now extends its malware and exploit protection capabilities to Mac endpoints running OS X 10.10, OS X 10.11, and macOS 10.12. The new Traps agent for Mac is tailored to protect Mac endpoints and provides a streamlined interface. The Traps agent for Mac uses WildFire threat intelligence and the Gatekeeper Enhancement malware protection module (MPM) to halt malware, and blocks exploits using JIT Mitigation, ROP Mitigation, Dylib‐Hijacking Protection, and Kernel Privilege Escalation Protection exploit protection modules (EPMs). To manage Mac endpoints from the ESM Console, you can now view the distribution of agents by operating system on the Dashboard, manage policy rules on dedicated configuration pages, and filter logs and security events by specific macOS versions. 

New Feature Description

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  5

Features Introduced in Traps 4.0   Traps 4.0 Release Information

Security Features

New Feature Description

Microsoft Office File Protection

(Windows only) Traps now examines macros in files opened from Microsoft Office processes such as Excel and Word. To determine whether a macro is malicious, Traps leverages WildFire analysis results. If a macro is unknown, Traps leverages machine learning and static analysis to make an immediate decision and optionally submits the file containing the macro to WildFire for full analysis. You can view verdicts for macros alongside verdicts for executable files on the Hash Control page. Office file protection is enabled by default for excel.exe and winword.exe on Windows endpoints. 

Whitelist Support in Microsoft Office File Protection

(Windows only) As an enhancement to Microsoft Office file protection, you can now allow macros to run from specific files and folders by adding them to the Microsoft Office file whitelist (Policies > Malware > WildFire > Office Files). The whitelist also supports the same environment variables and wildcards that you can use in restriction rules. 

Enhanced Child Process Protection

(Windows only) The new Child Process Protection MPM prevents a process from launching a legitimate process that can be used for malicious purposes (for example, a script engine). This technique is commonly used by ransomware or other malware to bypass traditional security approaches. For increased flexibility, you can configure the module to operate in one of two ways: Use a whitelist to block all child processes initiated by a process except for those specified in the whitelist, or, use a blacklist to allow a process to run all child processes except for those specified in the blacklist. This MPM supersedes the Child Process restriction rule available in previous releases and is enabled by default to block known targeted processes from launching on Windows endpoints. 

Exploit Kit Fingerprinting Protection

(Windows only) The new Exploit Kit Fingerprinting Protection EPM is an application protection module which protects Microsoft Internet Explorer and Edge browsers from an exploit kit activity known as fingerprinting. Increasingly, exploit kits use fingerprinting as the first phase of attack to collect information about the endpoint in order to target specific operating systems or applications or evade detection. By blocking this technique, Traps prevents the attacker from targeting vulnerable endpoints or apps. Exploit Kit Fingerprinting Protection is enabled by default for Internet Explorer and Edge browsers on Windows endpoints. 

Kernel Privilege Escalation Protection

(Windows and Mac) The new Kernel Privilege Escalation Protection EPM is the first protection module designed to prevent exploits of the operating system kernel. The EPM prevents an attacker from using the privilege information of another process with greater privileges to run a process with system permissions. Kernel Privilege Escalation Protection is enabled by default on Windows and Mac endpoints. 

Dylib‐Hijacking Protection (Mac only) The new Dylib‐Hijacking Protection EPM is an application protection module which protects Mac endpoints from dylib hijacking attacks. When a hijacking event occurs, the attacker attempts to load dynamic libraries from unsecured locations to gain control of a process. The Dylib‐Hijacking Protection EPM is enabled by default for specific processes on Mac endpoints. 

6  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0 Release Information Features Introduced in Traps 4.0  

Operational Features

Gatekeeper Enhancement (Mac only) The new Gatekeeper Enhancement MPM is an enhancement of the macOS gatekeeper functionality which allows apps to run based on their digital signature. The MPM provides an additional layer of protection by extending gatekeeper functionality to child processes to enforce the signature level of your choice: Apple System, Mac App Store, or Developers. This prevents attackers from leveraging a logical vulnerability in an existing process to bypass the OS verification of the signature level. You can also choose to allow child processes to run if they match (or exceed) the signature level of the parent process or you can block all child processes regardless of digital signature. This module is enabled by default for select macOS apps and applies to Mac endpoints. 

Traps Registration with Microsoft Security Center

(Windows only) The Windows Security Center now recognizes Traps as an official Antivirus (AV) software product. Now, when you use Traps as your sole AV solution, users can be confident about the virus protection status of the endpoint by viewing the state in the Windows Action Center.

New Feature Description

Hash Control Search Enhancements

To help you quickly respond to malware‐related activity, you can now easily filter the number of results on the Hash Control page to identify hashes that match specific search criteria:•  Complex search support—You can now perform a complex search of hash records to 

narrow or broaden the scope of your search. Complex searches use one or more search criteria and operators which allow you to include or exclude results that match a value. When using the verdict as search criteria, you can specify additional operators to include or exclude results that match a previous verdict (for example when a verdict changed from Benign to Malware). 

•  Predefined search queries—From the search, you can now select from a number of predefined, common search queries. The predefined search queries provide quick access to records that may require additional action. For example, you can use predefined queries to review malware discovered within the last 24 hours, or you can identify malware that was quarantined on the endpoint (restoration candidates). 

•  Result limits—The Hash Control page now limits the number of results it displays to a maximum of 1,000 records. 

•  Export a search query—To save your hash search query, you can now export the parameters to a comma separated version (CSV) file. 

Verdict Change History For increased visibility, you can now view up to the last five changes to a verdict. The verdict change history helps you to identify the flow of changes to a verdict and the source of all applied verdicts (WildFire, local analysis, or administrative override). For example, you can compare a current verdict to past verdicts to better understand why a verdict changed. Each hash record lists the changes to the verdict from most to least recent and also indicates when Traps first applied the verdict on an agent. 

New Feature Description

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  7

Features Introduced in Traps 4.0   Traps 4.0 Release Information

Log Forwarding to Panorama

Panorama can now ingest Traps logs sent by the Endpoint Security Manager using syslog over UDP,TCP, or SSL so that you can monitor security events relating to protected processes and executable files on Traps endpoints. You can filter on any log attribute and answer day‐to‐day operational questions such as, “How many prevention events did a specific user trigger?” The ability to view Traps logs in the same context as the firewall logs allows you to correlate discrete activity observed on the network and the endpoints. Correlated events help you see the overall picture across your network and the endpoints so that you can detect any risks that evade detection or take advantage of blind spots, and strengthen your security posture well before any damage occurs.

Traps Licensing Enhancements

Licensing is enhanced to simplify the management and distribution of Traps licenses from the Endpoint Security Manager (ESM):•  License pool—The ESM now assigns Traps licenses to all workstations, servers, and VDI 

from a single license pool.•  Auto‐revocation of licenses from inactive agents—After a period of time with no 

communication with the agent, the ESM now automatically revokes the license from the agent and returns it to the pool of available licenses. By default, this period is 90 days but is configurable from the ESM Console (range is 30 to 365 days). 

WF‐500 Appliance Support

(Windows only) You can now use a WF‐500 appliance as an on‐premise WildFire private cloud to analyze samples discovered by Traps agents on endpoints. This is ideal for deployments with privacy and legal regulations that restrict the transfer of files outside your network. The WildFire‐500 appliance queries the WildFire public cloud to obtain the verdict and, if unknown, analyzes the executable file in the local sandbox. By default, the WF‐500 appliance does not send discovered malware outside your network, however, you can choose to automatically forward malware to the WildFire public cloud to generate and distribute signatures to all Palo Alto Networks firewalls with Threat Prevention and WildFire licenses. Otherwise, the WF‐500 appliance only forwards the malware report (and not the sample itself) to the WildFire public cloud. 

New Feature Description

8  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0 Release Information Features Introduced in Traps 4.0  

Infrastructure Features

New Feature Description

ESM Installation Enhancements

The installers and installation flow have been enhanced to enable you to easily install and upgrade ESM components (ESM Server and ESM Console):•  Settings validation—To ensure a successful deployment, the installers now validate the 

following settings during installation: database credentials and privileges, latency between the database and the ESM, and version matching of ESM components. If an error occurs, the installers now display notifications and write descriptive errors to the installation log file. 

•  Streamlined configuration of multiple ESM Servers—The new Join Cluster feature enables you to easily install multiple ESM Servers without requiring you to reenter settings that apply to all servers. With this enhancement, after you install the first ESM Server, the installer writes both settings that are unique to the server—such as IP address or hostname—and common settings—such as the uninstall password and the license key—to the database. Each time you install a new ESM Server and specify the same database, the installer prompts you to join an existing server cluster and requires you to specify only settings that are unique to the new server. 

•  Administrative user—You are now required to specify an administrative user only during the installation of the ESM Console. 

TLS 1.2 Support Traps now supports TLS 1.2 as the preferred communication protocol between the Endpoint Security Manager (ESM) and the administrative user, agents, BITS upload folder, upgrade server, WildFire appliance, and Panorama management server. TLS 1.2 offers greater security due to stronger hash algorithms. The ESM provides dual support of TLS 1.2 on Windows endpoints running .NET 4.5 and Mac endpoints, and TLS 1.0 on older Windows versions (such as Windows XP) that use .NET 3.5.

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  9

Changes to Default Behavior   Traps 4.0 Release Information

Changes to Default Behavior

Changes to Default Behavior in Traps 4.0.2

Changes to Default Behavior in Traps 4.0.1

Changes to Default Behavior in Traps 4.0.0

Changes to Default Behavior in Traps 4.0.2

Traps 4.0.2 has the following changes in default behavior for operational features:

Changes to Default Behavior in Traps 4.0.1

There are no changes to default behavior in Traps 4.0.1.

Feature Change

Set Master Image for Persistent VDI

For persistent VDI environments running Traps 4.0.2 and later, you no longer need to set the master image from the ESM Console. This is due to the enhanced duplicate hostname support available with Traps 4.0.2 which enables the ESM to recognize clones as independent endpoints using the unique ID issued by the agent. Note that you must still configure the master image if the image uses a version of Traps older than Traps 4.0.2. For non‐persistent VDI environments, there is no change to the process.

Microsoft Security Center registration

With Traps 4.0.2, registration with the Microsoft Security Center is now defined in the security policy and distributed to the Traps agents. As a result, the agent does not register with the Microsoft Security Center until it receives a policy with registration enabled. By defining this setting in the policy, you can use the ESM to manage Microsoft Security Center registration for all endpoints from a central location instead of relying on the Traps agent for individual endpoints.To change the default behavior to disable registration with the Microsoft Security Center, contact Support. 

Windows Defender When registration with the Microsoft Security Center is enabled (the default), Traps disables the active protection and scanning capabilities by Windows Defender. The Action Center then displays the protection status of the endpoint based on the anti‐malware and anti‐spyware capabilities of Traps. Although you cannot enable active protection by Windows Defender after Traps registers with the Microsoft Security Center, you can enable Windows Defender scanning capabilities. This can be useful if you want to use Windows Defender for scanning to maintain PCI compliance but also want to display the Traps protection state in the Action Center.If you choose to disable registration with the Microsoft Security Center, the Action Center displays the protection status of the endpoint using Windows Defender capabilities instead of the capabilities of Traps. To disable registration with the Microsoft Security Center, contact Support. 

Agent Tampering Protection

The agent settings rule for Service Protection, is now renamed Agent Tampering Protection and provides more granular protection settings. For more information, see Features Introduced in Traps 4.0.2. 

10  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0 Release Information Changes to Default Behavior  

Changes to Default Behavior in Traps 4.0.0

The following topics describe changes to default behavior in Traps 4.0:

Security Changes

Operational Changes

Monitoring Changes

Security Changes

Traps 4.0 has the following changes in default behavior for security features:

Operational Changes

Traps 4.0 has the following changes in default behavior for operational features:

Feature Change

Malware protection flow The malware protection flow has changed. Traps now evaluates executable files (to determine if they are malware) in the following order:1. Child process MPM policy2. Restriction policy3. Administrative hash control policy4. Trusted signer evaluation5. WildFire verdicts6. Local analysisFor more information, see Malware Protection Flow.

Malware protection modules (MPMs)

The Suspend Guard and Thread Injection malware protection modules (MPMs) have been deprecated and removed from the default policy. For Traps agents running versions earlier than 4.0, the Endpoint Security Manager (ESM) disables these modules in the policy. With this change, the ESM Console omits any security events related to these modules from the Security Events pages.

Restriction rules On Traps agents running releases earlier than Traps 4.0, the default policy rules now allow signed executables to run from restricted folders and allow signed child processes to run from a restricted process. To change these default settings, contact Support.

Feature Change

Policy rule configuration •  The Add rule function on many rule configuration pages has moved and is now available from the action menu   on each rule configuration page.

•  The options to disable and enable all protection rules are now available from the action menu  .

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  11

Changes to Default Behavior   Traps 4.0 Release Information

Monitoring Changes

Traps 4.0 has the following changes in default behavior for monitoring features:

Child Process Protection MPM

The Child Processes Whitelist (Restriction Settings) and Child Processes restriction rule are now superseded by the Child Process Protection MPM for Traps 4.0 agents. To enable you to manage child process rules and whitelists on endpoints running legacy Traps releases, the restriction rule is renamed Child Processes (Pre 4.0 agents) and the restriction settings is renamed Child Processes Whitelist (Pre 4.0 agents).

Java restrictions rule The Java restrictions rule is now deprecated for Traps 4.0 agents. To enable you to whitelist Java processes on endpoints running legacy Traps versions, you can configure the Java (Pre-4.0 Agents) restriction rule from the ESM Console.

Unsigned Executables restrictions rule

The Unsigned Executables restrictions rule is now deprecated and removed from the ESM Console, Traps, and the default policy.

Local Folder Behavior and Network Folder Behavior restriction rules

The Local Folder Behavior and Network Folder Behavior restriction rules, which enable you to blacklist a folder or file, have been consolidated into a new Execution Path Restriction rule. To allow you to specify both network paths in addition to local paths, the new rule also now supports UNC paths (for example, \\myserver\temp).

Hash control For increased clarity, the following changes were made to options on the Hash Control page:•  The Restore option is now named Restore File(s).•  The Recheck option is now named Recheck Verdict(s).•  The Revert to WildFire Verdict is now named Clear Verdict(s) Override and is available 

only if an administrative override is configured for the file.•  The Restore Candidates option is now available as a pre‐defined search filter and is 

now removed from the action menu  .

Agent licensing •  Detaching licenses—Because the ESM can now automatically detach a license from an agent after a period of inactivity, the following functionality is now deprecated in the ESM Console:•  Agent action rule to update or revoke a Traps license•  Detach License option on the Monitor > Agent > Health page

Now, to manually detach a license from an agent before the automatic revocation period, you must delete the endpoint from the Monitor > Agent > Health page: Select the endpoint(s), click the action menu  , and select Delete Selected. The agent continues to apply protection using the last known policy but does not receive any further updates. If the agent subsequently attempts to check in with an ESM Server, it is treated as a new agent and is issued a new license from the pool of available license.

•  Agent identifiers—To enable the ESM to manage and issue licenses to multiple endpoints with the same hostname, the agent now receives a unique ID. The ESM Server assigns the unique identifier to each Traps agent when they first check in with the ESM Server. 

Feature Change

12  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0 Release Information Changes to Default Behavior  

Feature Change

COMPUTER DISTRIBUTION AND VERSION chart

The ESM Console Dashboard now displays the COMPUTER DISTRIBUTION AND VERSION chart as a bar graph of the number of endpoints running a Traps maintenance release. Previously, the Dashboard displayed this information as a pie chart with the distribution of agents by the full build number. For example: 4.0.0.1234.

Traps dump analyzer (TDA) module

The Traps dump analyzer (TDA) module is now deprecated. As a result, the ESM Console no longer displays the results of TDA analysis in the details of a security event.

Provisional Mode Provisional Mode is now removed from the Security Events and Monitor pages. Events related to unknown executable files now appear on the Threats page.

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  13

Associated Software Versions   Traps 4.0 Release Information

Associated Software Versions

The following minimum software versions are supported with Traps 4.0 components.

Software Minimum Supported Version with Traps 4.0

ESM Server 4.0

ESM Console 4.0

Traps 3.3

Content Release Version for ESM Console 4.0.2 17

Content Release Version for ESM Console 4.0.1 16

Content Release Version for ESM Console 4.0.0 13

14  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0 Release Information Limitations  

Limitations

This section describes limitations associated with the Traps 4.0 software.

Incompatible Operating Systems

Incompatible Security Products

Incompatible Operating Systems

For information on supported operating systems, see the Traps topic in the Palo Alto Networks® Compatibility Matrix.

Incompatible Security Products

The following table describes incompatibility considerations for third‐party security products.

Security Product Description Implications and Required Actions

Antivirus engines (such as Avira and AVG)

Because Palo Alto Networks Traps components are detected by antivirus engines, some antivirus engines may falsely recognize Traps components as a threat.

If a Traps component is suspected as a threat, we recommend excluding the component in the product's management tools. If required, please contact Support.

AppVolumes AppVolumes collides with the Traps injection mechanism.

Running Traps and AppVolumes in parallel is not supported. 

BeyondTrust PowerBroker

BeyondTrust PowerBroker Client collides with the Traps injection mechanism.

Running Traps exploit protection and BeyondTrust PowerBroker in parallel is not supported. All other malware protection functionality—such as local analysis, WildFire analysis, and restriction rules—works as expected.

Bitdefender Total Security

When Traps is installed on Windows 7 and Windows 8 64‐bit systems, installing Bitdefender causes a startup issue on the next reboot. When Bitdefender is installed, installing Traps causes Windows Explorer to crash.

Running Traps exploit protection and Bitdefender in parallel is not supported. All other malware protection functionality—such as local analysis, WildFire analysis, and restriction rules—works as expected.

BUFFERZONE BUFFERZONE collides with the Traps injection mechanism.

Running Traps and BUFFERZONE in parallel is not supported.

McAfee Solidifier Solidifier collides with the Traps injection mechanism.

Running Traps exploit protection and Solidifier in parallel is not supported. All other malware protection functionality—such as local analysis, WildFire analysis, and restriction rules—works as expected.

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  15

Limitations   Traps 4.0 Release Information

Microsoft Enhanced Mitigation Experience Toolkit (EMET)

Microsoft EMET collides with the Traps injection mechanism.

Running Traps exploit protection and Microsoft EMET in parallel is not supported. All other malware protection functionality—such as local analysis, WildFire analysis, and restriction rules—works as expected.

Panda Antivirus Panda Antivirus collides with one of the Traps ROP Mitigation component checks.

Running Traps exploit protection and Panda Antivirus in parallel is not supported. All other malware protection functionality—such as local analysis, WildFire analysis, and restriction rules—works as expected.

Sophos Intercept On Windows 10 endpoints, Sophos Intercept collides with the Traps injection mechanism

Running Traps exploit protection and Sophos Intercept exploit mitigation features in parallel is not supported. All other malware protection functionality—such as local analysis, WildFire analysis, and restriction rules—works as expected. Otherwise, to enable Traps exploit protection disable the following Runtime Protection options in the server policy of the cloud server:•  Mitigate exploits in vulnerable

applications•  Protect processes

Trend Micro On Windows endpoints, Trend Micro XG can detect malware in the process memory collected by the Traps agent. 

To prevent Trend Micro XG from detecting malware in the process memory collected by Traps, disable the Enable program inspection to detect and block compromised executable files option in Behavior Monitoring Settings of Trend Micro.

VMware ThinApp ThinApp collides with the Traps injection mechanism.

Running Traps exploit protection and ThinApp in parallel is not supported. All other malware protection functionality—such as local analysis, WildFire analysis, and restriction rules—works as expected.

Security Product Description Implications and Required Actions

16  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0 Release Information Known Issues  

Known Issues

The following table describes known issues with Traps 4.0. 

Issue ID Description

CYV‐11847 After you upgrade an endpoint from Windows 7 to Windows 10, the Traps Local Analysis (TLA) module stops running and does not restart.Workaround: Reinstall the Traps agent after upgrading the endpoint OS.

CYV‐11503 Traps is registered as an Antivirus Protection Module and not as an Antispyware Protection Module on Japanese Windows operating systems. This causes the Action Center to indicate antivirus protection is off, even though the Traps agent is up and running.

CYV‐11486 On the ESM Console, the additional details view of a security event on the Malware Post Detected page labels the unique ID associated with the security event as the Prevention Key. Because no prevention event occurred, the label is inaccurate.

CYV‐11440 When you configure a Child Process Protection rule, setting the Action to Notification causes performance issues on Windows endpoints. 

CYV‐11421 If Traps protection is disabled on a Windows 7 endpoint, either by intentionally disabling it or due to an error, the Action Center correctly indicates the endpoint is not protected. However, if the user tries to enable protection from the Action Center, Traps will not resume protection.Workaround: To enable Traps protection, configure a Service Protection agent settings rule from the ESM Console. You can also enable service protection on a specific endpoint using Cytool. 

CYV‐11177 On Windows endpoints, Traps displays prevention notifications for the DLL Security EPM when an Internal Error occurs instead of silently logging the issue and terminating the process.

CYV‐11048 Due to an internal IIS issue, after binding a new certificate to the ESM Server for secure communication between the server and the agents, Traps agents connect intermittently.Workaround: When agents can’t connect, restart the ESM Server.

CYV‐10664 On Windows 10 endpoints, Internet Explorer 11 halts abruptly when an exploit protection module (EPM) triggers a prevention event. This occurs due to the built‐in mechanism which attempts to reopen pages which closed suddenly thus causing a prevention loop. 

CYV‐10655 When Traps quarantines a file whose filename contains Unicode characters, the ESM Console incorrectly indicates the file has not been quarantined. 

CYV‐10101 After Traps quarantines malware, the operating system displays an error indicating that the quarantined file cannot be found. This issue occurs only when the current user does not have administrative rights on the endpoint.

CYV‐9930 The DB Configuration Tool allows you to save a user who is not a local administrator on the ESM Console server because it does not validate administrative users. Workaround: Validate that users are administrators on the ESM Console server before adding them as administrative accounts using the DB Configuration Tool.

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  17

Known Issues   Traps 4.0 Release Information

CYV‐9790 When Service Protection is enabled and an administrator uninstalls Traps on the endpoint, some files remain in the ProgramData\cyvera folder. In some environments, these files are owned by SYSTEM and cannot be removed by the administrative user.Workaround: Log off and log back in before attempting to delete these files.

CYV‐9762 To create a rule for network folder restriction, the ESM Console requires you to define a network folder whitelist before it permits you to save the rule.

CYV‐9751 In an environment where a secondary ESM Console is installed on an ESM Server, the ESM Server inherits the proxy settings from the secondary console.

CYV‐9723 On Windows XP endpoints, when you click Send Support File from the Traps console, the agent fails to collect logs from the event viewer and instead sends only a partial collection of logs.

CYV‐9705 When you configure rules to use target objects that use the Windows User logon name in UPN format (User@Domain.com), the ESM Console omits these objects and displays only sAMAccount names. Workaround: To apply a rule to a target object with a UPN account name, specify the full Active Directory distinguished name.

CYV‐9621 The BitsUpload manager fails to upload malware with a filename that contains the right‐to‐left override (RLO) character.

CYV‐9595 When you install Traps on a terminal server that is accessed by multiple users, user‐specific rules do not work as expected. For example, in some cases, Traps fails to apply user‐specific rules to the affected user. In other cases, Traps applies user‐specific rules to all users on the terminal server.

CYV‐9585 Attempting to restore a file before Traps finishes retrieving relevant memory dumps causes delays in restoring the file to the original location.

CYV‐9538 In an environment with two ESM Consoles, when you attempt to generate an ESM tech support file, the ESM Console collects data only from the ESM Console on which you generated the file. As a result, the ESM tech support file does not contain any logs from the secondary console.

CYV‐9468 When you use Cytool to stop all runtime services, Cytool stops all runtime services except for the Traps Dump Analyzer Service.Workaround: Use alternate methods, such as the Windows Services Console, to stop the Traps Dump Analyzer Service.

CYV‐9368 Traps fails to enforce local folder restrictions on endpoints that use the Japanese language version.

CYV‐9360 In an ESM deployment with multiple ESM Servers, after removing a server from the domain, the ESM Console does not update the Internal Address and continues to show the in‐domain address.Workaround: From the ESM Console (Settings > ESM > Multi ESM), manually update the internal address of the ESM Server.

CYV‐9355 Because older versions of Traps did not support a grayware verdict, executable files received a benign verdict and were permitted to run. After upgrading to Traps 3.4 or 4.0, the local cache retains the benign verdict for any grayware that previously ran on the endpoint. As a result, subsequent attempts to run grayware that ran previously are permitted.

Issue ID Description

18  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0 Release Information Known Issues  

CYV‐9350 On some endpoints, the CPU spikes when the Traps console is open.

CYV‐9284 The first time a user opens an executable file that is larger than 50MB (such as an installer), the launch time increases due to the evaluation of trusted signers.

CYV‐9215 When an exploit event occurs, some EPMs configured in Notification mode can cause Traps to display multiple notification messages about the event.

CYV‐9178 After successfully installing the ESM Server or ESM Console software, the installer inconsistently logs the completion status of the installation.

CYV‐9007 When you generate an ESM Tech Support file and the ESM Console and the ESM Server are installed on the same device while service protection is enabled, some data cannot be retrieved. This is because service protection blocks access to specific folders.

CYV‐8959 When you change the state of a machine from workstation to virtual desktop infrastructure (VDI), Traps continues to use a license from the workstation license pool instead of obtaining a floating VDI license.

CYV‐8923 If you configure an exploit protection rule that uses the DLL Security EPM, the Flash player crashes on 64‐bit Firefox.

CYV‐8834 When you upgrade .NET Framework in preparation for upgrading Traps and then remove the older .NET Framework version, the Traps upgrade fails.Workaround: To avoid uninstall and upgrade issues, do not remove the older version of .NET Framework before upgrading to this version of Traps.

CYV‐8732 When you apply an action rule to an organizational unit and specify a group of machines as belonging to the organizational unit, endpoints in that group do not receive the agent rule.

CYV‐5632 An issue with the policy files prevents Traps from obtaining the latest security policy when the policy contains a large number of provisional processes. As a result, the security policy can become out‐of‐date and the ESM Console can display the status of the agent running on the endpoint as disconnected.

OSX‐1378 On Mac endpoints, Traps sends communication messages to the ESM Server twice: once at startup and again when the Traps agent starts up. 

OSX‐1252 When no ESM Servers are available, the Traps console on a Mac endpoint appears to connect to the last known available ESM Server instead of displaying a status indicating an ESM Server could not be reached.

OSX‐1131 When you create an action rule to upgrade Traps on Mac endpoints, Traps reinstalls the agent software when the version in the rule matches the version which is already installed on the endpoint. 

OSX‐920 The Monitor > Agent > Health page omits the domain name (Base DN) for Mac endpoints. As a result, Group Policy (based on Active Directory) may not work on Mac endpoints. 

OSX‐890 The Provisional Mode page of the ESM Console lists unknown executable files that are signed by a trusted signer instead of listing only unknown executable files that are unsigned by a trusted signer. 

Issue ID Description

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  19

Known Issues   Traps 4.0 Release Information

20  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0.2 Addressed Issues

The following table lists the issues that are addressed in the Traps™ 4.0.2 release. For new features introduced in Traps 4.0, as well as known issues and limitations, see Traps 4.0 Release Information.

Issue Identifier Description

CYV‐12591 Fixed an issue in ESM Console 4.0.1 where the console did not display hash records for macros on the Hash Control page. 

CYV‐12592 Fixed an issue on macOS 10.12 endpoints where running the Traps agent and Google Chrome, Slack, or Adobe Reader in parallel halted the application abruptly. 

CYV‐12350 Fixed an issue where the Traps agent failed to register with the ESM Server after reinstalling the Traps software. 

CYV‐12346 Fixed an issue on Windows 10 endpoints where running the Traps agent and Digital Guardian in parallel halted the endpoint abruptly. 

CYV‐12242 Fixed an issue where running macros on the Traps agent caused the upgrade from ESM Server 4.0.0 to 4.0.1 to fail. With this fix, you can upgrade from ESM Server 4.0.0 or 4.0.1 to 4.0.2 while running macros.

CYV‐12232 Fixed an issue where the Traps agent upgrade process did not configure SQL communication over SSL by default, which resulted in insecure communication.

CYV‐12203 Fixed an issue where accessing files over network share paths took longer than expected when access required account impersonation.

CYV‐12161 Fixed an issue where the ESM Server did not push policy rules to Mac endpoints when you specified computers, organizational units, or groups as target objects for the rules.

CYV‐12126 Fixed an issue where Adobe Acrobat in Enhanced Protected Mode stopped running on endpoints where the Traps agent was running.

CYV‐11931 Fixed an issue where the ROP Mitigation Exploit Protection Module produced false positives.

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  21

  Traps 4.0.2 Addressed Issues

22  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0.1 Addressed Issues

The following table lists the issues that are addressed in the Traps™ 4.0.1 release. For new features introduced in Traps 4.0, as well as known issues and limitations, see Traps 4.0 Release Information.

Issue Identifier Description

OSX‐1431 Fixed an issue where Traps agents running on Mac endpoints failed to upload some files to the ESM.

OSX‐1413 Fixed an issue where the Traps Console displayed old policy rules after an upgrade when the Traps agent could not connect to the ESM server to retrieve the current policy. With this fix, the Traps Console displays no policy when it cannot connect to the ESM server.

OSX‐1411 Fixed an issue where the Traps agent running on an OS X endpoint did not include the prevention GUID in the name of the ZIP file that contained prevention data. With this fix, the ZIP file name includes the prevention GUID to facilitate finding the related prevention.

CYV‐12037 Fixed an issue where, after the Traps agent rebooted and the primary ESM Server was unavailable, the agent failed to connect to an ESM Server installed in a DMZ.

CYV‐12004 Fixed an issue where the ESM Console and database retained proxy settings after you cleared and then disabled the proxy configuration in the ESM Console configuration.

CYV‐11988 Fixed an issue where Traps agents did not receive some WildFire verdict updates after migrating to Traps 4.0.

CYV‐11957 Fixed an issue on Windows 8.1 endpoints with Control Flow Guard (CFG) enabled where Traps caused Wow64 processes to stop if a third‐party application launched the processes during the early stages of system startup. To apply this fix, you must uninstall Traps using the Traps Cleaner tool and then reinstall it.

CYV‐11933 Fixed an issue where the CyveraService and Traps Local Analysis (TLA) module could not start after installation if the Windows Event Viewer was down.

CYV‐11901 Fixed an issue where installing a Windows 10 Creators update on an endpoint removed the HKLM\System\Cyvera key.

CYV‐11899 Fixed an issue where, when the MS08‐067 exploit ran on a virtual machine on Windows Server 2003/R2, the Traps agent did not send a notification that it stopped the exploit and the virtual machine became unresponsive until the server hardware was reset.

CYV‐11897 Fixed an issue where the Traps mini‐filter driver (cyvrfsfd) triggered memory corruption in Windows virtualized environments.

CYV‐11868 Fixed an issue where the ESM did not send the syslog event Agent License Revoked to the syslog client after you uninstalled the Traps agent.

CYV‐11847 Fixed an issue where, after you upgraded an endpoint from Windows 7 to Windows 10, the Traps Local Analysis (TLA) module stopped running and did not restart.

CYV‐11846 Fixed an issue where the ESM could not connect to the Panorama™ management server over a TCP‐SSL connection.

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  23

  Traps 4.0.1 Addressed Issues

CYV‐11536 Fixed an issue where Traps displayed the WildFire verdict No-Connection for executable files that were signed by trusted signers until WildFire sent the correct verdict. With this fix, Traps displays Awaiting Verdict for these files until WildFire sends the correct verdict.

CYV‐11390 Fixed an issue where Traps agent installation failed if you set the maximum concurrent connections for all addresses by modifying the machine.config file.

CYV‐10841 Fixed an issue where the Traps agent failed to upload logs or hash files to the ESM due to a remote procedure call (RPC) error.

Issue Identifier Description

24  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

Traps 4.0.0 Addressed Issues

The following table lists the issues that are addressed in the Traps™ 4.0.0 release. For new features introduced in Traps 4.0, as well as known issues and limitations, see Traps 4.0 Release Information. 

Issue Identifier Description

CYV‐9024 Fixed an issue where Traps neglected to provide any notification, collect forensic data, or log the event when a UASLR prevention event occurred for a process in a hidden system folder. With this fix, when a UASLR prevention event occurs on a process in a hidden system folder, notifications, logging, and data collection all work as expected.

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  25

  Traps 4.0.0 Addressed Issues

26  •  Traps 4.0 Release Notes © Palo Alto Networks, Inc.

© Palo Alto Networks, Inc. Traps 4.0 Release Notes  •  27

Getting Help

The following topics provide information on where to find out more about our products and how to request support:

Related Documentation

Requesting Support

Related Documentation

Refer to the following 4.0 documentation on the Technical Documentation portal or search the documentation for more information on our products. For information on the additional capabilities and for instructions on configuring Traps features, refer to the Traps 4.0 Administrator’s Guide.

Requesting Support

For contacting support, for information on support programs, to manage your account or devices, or to open a support case, refer to https://www.paloaltonetworks.com/support/tabs/overview.html.

To provide feedback on the documentation, please write to us at: documentation@paloaltonetworks.com.

Contact Information

Corporate Headquarters:

Palo Alto Networks

4401 Great America Parkway

Santa Clara, CA 95054

https://www.paloaltonetworks.com/company/contact‐support

Palo Alto Networks, Inc.

www.paloaltonetworks.com

© 2017 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo Alto Networks. A list of our trademarks can be found at https://www.paloaltonetworks.com/company/trademarks.html. All other marks mentioned herein may be trademarks of their respective companies.

Revision Date: July 11, 2017