Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme

Sicherheit (Pexels, allgemeine Nutzung)[English]Zum Jahresabschluss noch ein kleiner Sammelbeitrag rund um Microsofts-Virenschutzlösung Defender. Für Windows Server 2019 hat man mit den Dezember 2021-Updates ein Problem beim Defender wohl beseitigt. Dafür dümpelt ein Defender-Problem in Windows 8.1/Server 2012 R2 seit Monaten ungefixt dahin. Und zu allem Überfluss hat Microsoft einen Microsoft 365 Defender Log4j-Scanner ausgerollt, der im Defender einen Alarm des Prozesses OpenHandleCollector.exe auslöst.


Anzeige

Fix für Windows Server 2019/2022 Defender-Problem

Ich hatte es im Blog-Beitrag Windows Server 2019/2022: Der Microsoft Defender for Endpoint streikt nach Nov. 2021 Updates angesprochen. Microsoft musste eingestehen, es nach Installation bestimmter Updates auf Windows Server 2019 oder gar Windows Server 2022 der Microsoft Defender for Endpoint als Virenschutz Probleme macht und ggf. nicht mehr startet.

Mit den Dezember 2021-Sicherheitsupdates hat Microsoft dann das Problem des nicht mehr startenden Microsoft Defender in Windows Server Core (z.B. durch das kumulative Update KB5008218) behoben (siehe mein Blog-Beitrag Patchday: Windows 10-Updates (14. Dezember 2021)).

Defender Echtzeitschutz blockiert (Error 0x800705b4)

Im Blog-Beitrag Windows 8.1/Server 2012 R2: KB5003681 blockt Defender Echtzeitschutz (Error 0x800705b4) habe ich berichtet, dass das Juni 2021-Sicherheitsupdates KB5003681 (Security Only Quality) dem Echtzeitschutz des Windows Defender unter Windows 8.1 und Windows Server 2012 R2 blockieren kann. Der Defender lässt sich dann nicht mehr öffnen und stürzt mit dem Fehlercode 0x800705b4 ab. Nach Deinstallation des Updates funktioniert alles wieder.

Ich hatte im Blog-Beitrag einen möglicherweise funktionierenden Workaround beschrieben und die Hoffnung, dass Microsoft in den Folgemonaten Milch gibt und einen Fix bereitstellt. Zum 28. Dezember 2021 ist dieser Kommentar im Blog eingetroffen, dass der Echtzeitschutz des Windows Defender immer noch nicht funktioniere.


Anzeige

Fehlalarme durch Defender Log4j Scanner

Microsoft hat wohl einen  Log4j-Scanner für den Microsoft 365 Defender ausgerollt, aber nichts dokumentiert. Seit dieser Zeit meldet der Microsoft Defender for Endpoint plötzlich "sensor tampering"-Alarme und beanstandet einen Prozess OpenHandleCollector.exe. Ich bin über folgenden Tweet erstmals darauf gestoßen.

Anyone else getting "Possible sensor tampering in memory was detected by Microsoft Defender for Endpoint" alerts created by OpenHandleCollector.exe?

Der Nutzer fragt, ob noch jemand die Meldung "Mögliche Sensormanipulationen im Speicher wurden von Microsoft Defender für Endpoint erkannt" ("Possible sensor tampering in memory was detected by Microsoft Defender for Endpoint") bekomme. Diese wird von OpenHandleCollector.exe erstellt. Microsoft hat sich dann gemeldet und spricht von Fehlalarmen, die nun korrigiert seien.

Hi there, thank you for flagging this issue. Microsoft has updated cloud logic to suppress any false positives and has resolved the alerts on behalf of the customers.

Sicherheitsforscher Kevin Beaumont hat es in einer Reihe von Tweets aufgegriffen und schreibt:

It is something Microsoft have added to Defender for Endpoint it appears, new binary never seen before, that Defender for Endpoint's own EDR rules trigger on.. so it is detecting itself.

 

[…]

It looks like Microsoft rolled out a completely undocumented file globally, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection\OpenHandleCollector.exe, and ran it on Defender for Endpoint looking for log4j processes. But Defender detected it.

Der nachfolgende Tweet bestätigt dann, dass es sich wohl um Fehlalarme des Defender handele. Inzwischen haben die Kollegen von Bleeping Computer das Thema hier ebenfalls aufgegriffen und liefern noch einige Details.

Erste Meldungen auf Twitter gab es wohl schon zum 23. Dezember 2021. Laut Antworten von Microsoft arbeitet man an einem Fix und will das bereits behoben haben. Ist noch jemand betroffen?


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme

  1. Mira Bellenbaum sagt:

    Die Jungs vom MS haben doch längst die Übersicht verloren!
    Alte Lücken kann keiner mehr patchen, dauernd kommt unzählige Zeilen neuer Code hinzu.
    Das System ist total überholt!
    In unzähligen "Programmen", in mindesten genauso vielen "Programmbibliotheken"
    stecken unzählige alte Symbole und entsprechen auch, alter längst überholter Code.
    Das wird nicht bereinigt, ne, der Code bleibt im System nur wird darauf offiziell nicht
    zugegriffen, ob das andere Programme auch wissen?

    Der Kernel von einst ist gut, sehr gut sogar, aber den ganzen Müll den man drumherum gebaut hat,
    den hätte man besser entsorgen sollen.
    Vielleicht klappt es ja mit einer zukünftigen Version, glaube aber nicht wirklich daran.
    Mit einem Betriebssystem hat Windows schon seit einiger Zeit nichts mehr zu tun.

  2. Robert Glöckner sagt:

    MS ist nicht allein:
    die Fa. Bitdefender hat am 16.12.2021 ein Update veröffentlicht, das zu mehreren Supportfällen geführt hat. Die Auswirkungen sind massiv.
    Es handelt sich um die Bitdefender Version 7.4.2.130. Die Datei EPSECURITYSERVICE.EXE führt zu einem Engpass beim virtuellen Speicher.
    Bei längerer Laufzeit ist kein virtueller Speicher mehr verfügbar und das System arbeitet unzuverlässig. Alle bisherigen Systeme waren Windows Server 2012 R2.

    Siehe auch:
    https://community.bitdefender.com/en/discussion/89709/out-of-memory-error

  3. Zocker sagt:

    Dabei ist doch Defender das Nonplusultra weil harmoniert so gut und so. Wird selbst hier immer wieder gepriesen…

    • Dekre sagt:

      Du solltest wissen. Abwarten ist die Devise. Irgendwann trifft es Jeden!
      Es gibt kein Tür, die nicht doch aufgeht?
      Na dann mal Prost!

      Es gibt ein Spruch: " Es ist aller voller Sicherheit." Leider hat diesen nie einer richtig verstehen wollen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.