[English]Hattet ihr die letzten Tage beim Abrufen von Webseiten häufiger Meldungen des Microsoft Defender, der diverse (legitime) URLs geblockt hat. Oder wurde der Zugriff auf Dateien wegen angeblicher Malware blockiert? Microsoft hat inzwischen bestätigt, dass es ein Problem gab und der in Windows mitgelieferte Defender unberechtigt Zugriffe auf Dateien und URLs blockierte, weil diese als schädlich angesehen wurden.
Anzeige
Meldungen im Blog
Nutzer von Windows kommen bezüglich des Microsoft Defender nicht zur Ruhe. Der in Windows integrierte Defender ist mal wieder aufgefallen, weil er "frei drehend" verschiedene Dateien oder URLs als schädlich klassifizierte und den Zugriff verweigerte. Ich hatte im Blog-Beitrag Windows 11: Defender meldet RAR-Archive als Trojaner "Wacatac.H!ml" auf dieses Phänomen hingewiesen. Rückmeldungen in den Kommentaren ergab, dass einige Nutzer in unterschiedlichen Szenarien betroffen waren.
Microsoft bestätigt Defender-Probleme
Nun hat Microsoft bestätigt, dass es ein Problem mit dem Defender gegeben habe. Auf Twitter findet sich eine Reihe von Tweets, die auf das Problem eingehen. Vor Stunden schrieb Microsoft, dass man ein Problem untersuche, bei dem legitime URL-Links vom Microsoft Defender-Dienst fälschlicherweise als bösartig markiert werden. Außerdem zeigten einige der Warnungen nicht den erwarteten Inhalt an.
Am gestrigen Abend bestätigte Microsoft, dass vom Defender falsch-positiven Warnungen ausgelöst würden – Benutzer könnten weiterhin auf die legitimen URLs zugreifen. Die betreffenden Statusmitteilungen wurden im Microsoft 365 Admin Center unter der Kennung DZ534539 abgelegt. Später hieß es auf Twitter:
Anzeige
We determined that recent additions to the SafeLinks feature resulted in the false alerts and we subsequently reverted these additions to fix the issue. More detail can be found in the Microsoft 365 admin center under DZ534539.
Microsoft hat also ein Problem in seinem Feature SafeLinks festgestellt, was auf fehlerhafte Ergänzungen und in der Folge Meldungen des Defender zurück ging. Man hat diese Ergänzungen der SafeLinks-Funktion, die zu den falschen Warnungen geführt haben, rückgängig gemacht, um das Problem zu beheben. Ein Nutzer hat auf reddit.com in diesem Thread die nachfolgenden Statusmeldungen eingestellt. War jemand von euch betroffen?
Title: Admins may be receiving an unexpected amount of high severity alert email messages
User impact: Admins may be receiving an unexpected amount of high severity alert email messages.
More info: The high severity alert emails refer to 'A potentially malicious URL click was detected'. Additionally, admins may be unable to view alert details using the 'View alerts' link in the emails.
Current status: We're reviewing service monitoring telemetry to isolate the root cause and develop a remediation plan.
Scope of impact: Impact is specific to any admin served through the affected infrastructure.
Next update by: Wednesday, March 29, 2023, 3:30 PM (1:30 PM UTC)
Anzeige
Da fehlt ein "hat" in der Überschrift, ließt sich so komisch…
Mit mir will sich Microsoft offensichtlich nicht verderben, bei mir gab es diese Effekte (mal wieder) nicht. Irgendwas, das ist sicher, muss ich falsch machen…
bei mir auch nicht ;-P liegt aber daran das der Defender deaktiviert ist, da ich ESET nutze. Da kann der also gar nicht querschießen.
Bedeutet aber nicht das Andere ebenso problemfrei sind.
Ich weiß – aber um 8:45 Uhr musste ich zum Frühsport für "Senioren" hetzen … und beim Sprinten kann ich nicht gleichzeitig am Smartphone Korrektur-lesen. Der Versuch, dass dann auch noch zu korrigieren, würde dann so ausschauen, als wäre eine Horde Affen über meine Tastatur gerannt (was nicht ausschließt, dass das auch ohne die Affen so ausschaut …).
Kommt drauf an wieviel Zeit man hat
https://de.wikipedia.org/wiki/Infinite-Monkey-Theorem
;p
Nun ja, mit 300 gedruckten Werken und irgendwo um die 30.000 (Blog) Artikeln habe ich diesbezüglich die letzten 38 Jahre schon gut vorgelegt – an der Theorie ist was dran – nur benutze ich seit Studienzeiten keine Schreibmaschine mehr ;-)
Mit Pseodo-KI wie ChatGPT wäre das sicher nicht passiert. 😋
Pseudo?
https://www.golem.de/news/gpt-4-funken-von-allgemeiner-kuenstlicher-intelligenz-2303-172962.html
Das ist schon erstaunlich!
Hatte deswegen einige false positive Meldungen durch Defender ATP
Hallo Zusammen,
ja wir waren auch betroffen. Die Kombination von beiden Events war für ein Endpoint-Security Tool eigentlich dramatisch.
Innerhalb von kurzer Zeit kamen mehrere Warnungen (zeitverzögert 20-40 Minuten!) ein, dass User auf credential phishing links geklickt hatten und potenziell Daten dort eingegeben wurden.
Diese hatten sich dann mehrmals im Kreis gedreht, sodass wir am Ende für 7 User über 20 Events zu der gleichen Aktion hatten :O!
Dazu gab es dann noch Zugriffsprobleme auf das Portal:
Wir konnten zwar sehen, welche User betroffen waren, aber nicht was für Zugriffe erfolgten > d.h . das Defender-Portal hat uns keine URLs genannt, welche als schadhaft erkannt wurden oder welche Daten aufgerufen wurden.
Auch über den ThreatExplorer oder über Exchange Online konnten wir diese Informationen nicht abfragen.
Daher konnten wir nur die User kontaktieren und Old-School-like die Gemeinsamkeiten herausarbeiten.
Natürlich hat jeder User gesagt "Was, habe ich gemacht? Nein, ich war die ganze Zeit in einem Meeting. Nein, soweit ich mir bewusst bin, habe ich dort auf keinen Link geklickt…."
Die Eskalation bei Microsoft hat leider genauso wenig funktioniert, wie die versprochene Fixes der Daten danach. Im Action Center liegen immer noch die o. g. 20 Events.
Summary:
a) Links wurden als fehlerhaft erkannt
b) Portal war fehlerhaft, somit keine Erkenntnis welche URL ggf. sofort manuell gesperrt werden sollte um weiteren Schaden zu vermeiden
c) auch nachfolgend wurden die Zugriffe auf diese URLs weiterhin vom Defender zugelassen, die tolle KI dafür war anscheinend gerade auf Urlaub! :(
> hier hätten wir erwartet, dass nach X Warnungen der Zugriff auf diese URL geblockt wird. Wenn der Threshold da erst ab 50 oder 100 zieht, ist das auch nochmals problematisch.
Nachdem im security.microsoft.com in der Anzeige aber die URL gefehlt hat, hatte die KI vielleicht auch einfach einen DIS Tag (KI1a "da sind gefährliche links…"; KI1b"okay, aber von welchen links redet der";..). Und nein, ich mach mich nicht über Krankheiten wie DIS lustig!!
Wir werden daher unsere Sicherheitslösungen überdenken und ggf. noch eine andere Ebene zu MS einführen, nur – wer soll das dann wieder alles administrieren und gegenseitige Wechselwirkungen erkennen oder managen?
Früher hat man ja auch gerne auf dem Server einen anderen AV genutzt als auf den Clients um eine eine redundante Sicherheit zu erhalten, falls ein Anbieter bei den Pattern-Updates langsamer ist als der andere…. backt to the roots..?!