Mir ist vor Kurzem aufgefallen, dass mehrere Computer in meinem Unternehmensnetzwerk ein unerwartetes Verhalten zeigten, wenn ich mit notepad.exe .txt- und .rtf-Dokumente von einem UNC-Pfad öffne, der auf meinem DC gehostet wird.
In jedem Fall stellt notepad.exe beim Öffnen des Dokuments eine TCP-Verbindung über TCP/389 (LDAP) zum DC her und startet außerdem lsass.exe als untergeordneten Prozess.
Gibt es einen Grund, warum dies in einer Domäne normalerweise vorkommt? Ich habe unsere EDR-Tools verwendet, um zu überprüfen, dass keine Schadcode-Injektion oder RPC aufgetreten ist, keine schädlichen Netzwerk-IOCs vorhanden sind und dass die „Herkunft“ des Prozesses (notepad.exe) normal ist (winlogon.exe -> userinit.exe -> explorer.exe -> notepad.exe).
Gibt es etwas, das mir offensichtlich entgangen ist? Ich bin für alle Einsichten dankbar.