[English]Kleiner Hinweis für Administratoren, wenn die Arbeit startet und gleich Aufregung über euch schwappt, weil der Microsoft Defender eine PowEmotoet.SB meldet und ggf. Office startet? Das ist ein Fehlalarm, der durch eine Update der Signaturdateien auf Version 1.353.1874.0 ausgelöst wurde. Hier einige Informationen, was bisher bekannt ist.
Anzeige
Blog-Leser Constantin hat mich die Nacht per E-Mail kontaktiert (danke dafür) und mich mit folgenden Zeilen auf ein Problem unter Windows im Zusammenhang mit Microsoft Defender for Endpoint hingewiesen:
Moin,
Bestimmt ein schöner Artikel wert ,wie Microsoft wieder was verbockt hat und alle Admins aufschreckt.
Microsoft hat mit einer Defender Definition ins Klo gegriffen und jeder Office Start ist wohl nun ein Defender false positive…
PowEmotet wir erkannt.
Twitter explodiert gerade dazu. Da freuen sich morgen früh alle Admins…
Dazu hat Constantin mir einen Link zu nachfolgendem Tweet von Sicherheitsforscher Kevin Beaumont geschickt, der diese Beobachtungen thematisiert. Der Defender scheint wohl etwas zu triggern, so dass sich Microsoft Office öffnet.
Christopher Mage hat das dann in einer virtuellen Maschine nachgestellt. Am 30.11.2021 wurde ihm beim Drucken vom Defender ein Fund Behavior:Win32/PowEmotet.SB gemeldet. Der Defender blockiert dann die betreffende (Signatur-)Datei PowEmotet.SB. Beaumont kam schnell auf den Trichter, dass es eine ausgerollte Änderung in der Virensignatur ist, die grundsätzlich bei jedem Office-DDE-Steuerelement einen Fehlalarm ausgelöst.
Anzeige
Auf Twitter gibt es diesen Tweet, in dem ein Benutzer etwas ähnliches postet. In diesem Tweet schreibt ein Nutzer, dass "PowEmotet" derzeit von Microsoft Defender über "C:\Windows\splwow64.exe" als False Positive gekennzeichnet werde, wenn Benutzer versuchen, aus Office365-Anwendungen zu drucken. Auf reddit.com gibt es diesen Post:
MsDefender detect Emotet in Microsoft Excel
For the last 40 minutes we have 5-6-7 windows device that MSDefender detected Win32/PowEmotet.SB . If we update the antivirus definition and open a new Excel file after we will have detection.
der sich über Emotet-Infektionen in Microsoft Excel beklagt und fragt, ob man alleine sei. Da ist inzwischen im Thread und auch auf Twitter quasi die Hölle los, weil sich immer mehr Nutzer mit dieser Beobachtung melden. Ziemlich schnell geben Nutzer an, dass diese Funde mit der Virendefinition v.1.353.1874.0 des Defender auftreten. Inzwischen hat Microsoft folgende Informationen gepostet, die ich im reddit-Thread gefunden habe.
"Starting on the evening of November 29th, customers may have experienced a series of false-positive detections that are attributed to the Behavior:Win32/PowEmotet.SB malware detection. Microsoft has investigated this spike of detections and determined they are false positive results. The affected Security Intelligence builds began with 1.353.1842.0. Microsoft has suppressed the detection preventing future alert spikes for those customers connected to the cloud. An upcoming Security Intelligence build to address the issue will be released shortly."
Also die Bestätigung, dass eine fehlerhafte Defender Antivirus-Signatur 1.353.1842.0, die am 29. November ausgerollt wurde, für diese falschen Alarme verantwortlich ist. Microsoft hat die Erkennung unterdrückt, um künftige Warnspitzen für Kunden zu verhindern, die mit der Cloud verbunden sind. Ein neues Security Intelligence-Build zur Behebung des Problems soll in Kürze veröffentlicht werden.
Ergänzungen: Auch die Kollegen von Bleeping Computer melden hier den gleichen Sachverhalt. Heute früh ist dann die Signatur 1.353.1888.0 freigegeben worden (ich habe sie unter Microsoft Security Essentials unter Windows 7 SP1 ESU gesehen). Bei den Kollegen von Bleeping Computer gibt es diesen Kommentar, der ein Fragezeichen dran macht, dass damit alle Probleme behoben seien. Beim ihm wird noch die Behavior:Win32/PowEmotet.SB in Quarantäne geschoben.
Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte
Ähnliche Artikel:
Windows Server 2019/2022: Der Microsoft Defender for Endpoint streikt nach Nov. 2021 Updates
Windows 11: Defender-Bypass mit Ausbruch aus der Sandbox
Den Defender unter Windows mit symbolischen Links ausknipsen
Update von LameXP auf Version 4.19 wird vom Microsoft Defender bemängelt
Windows Server 2019: VM wirft BSOD wegen Windows Defender
Windows 8.1/Server 2012 R2: KB5003681 blockt Defender Echtzeitschutz (Error 0x800705b4)
Microsoft Defender flutet Windows-Systemlaufwerk mit Dateien (Mai 2021)
Microsoft Defender ATP stuft Chrome-Update als PHP-Backdoor ein
Anzeige
Bei solchen False Positive Meldungen bitte sofort hiermit an Microsoft melden:
https://www.microsoft.com/en-us/wdsi/filesubmission
In der Regel erscheint dann in 1-3 Stunden eine neue Virensignatur, die das Problem behebt.
Ist sicher schon passiert, diese Versionen vom Defender bei mir:
Antimalware-Clientversion: 4.18.2110.6
Modulversion: 1.1.18700.4
Antiviren-Version: 1.353.1888.0 <——
Antispyware-Version: 1.353.1888.0
Letztes Update: 01.12.2021 08:00
Könnte sein – ich habe den Beitrag die Nacht zwischen 0:30 und 0:50 Uhr geschrieben. Mal schauen, wie viele Admins sich noch melden – in anderen Zeitzonen war die Aufregung die Nacht groß.
Vielen Dank für die schnelle Berichterstattung.
Der Puls ging dann doch recht zügig wieder in den Normalbereich.
Defender liefert bei mir regelmäßig false positiv. Bei jedem selbstgeschriebenen Teil was ( da für den Eigengebrauch) nirgends verbreitet ist! Den ist was neu und ihm nicht bekannt und laut hasch auch nicht verbreitet ist das ne Gefahr laut Defender …
Somit unbrauchbar und das erste was ausgeschaltet wird und auf Ersatzprodukt zurückgegriffen wird.
Ist wie nen Lügner wer einmal lügt dem glaubt man nicht!
Mit Lügen hat es nichts zu tun und es ist richtig, dass sich Antivirenprogramme zuerst bei unbekannter Software (wegen der Heuristik) so verhalten. Auch Software Entwickler müssen sich an die richtigen Stellen wenden, damit ihre Software akzeptiert werden. Im Fall von Microsoft ist es ebenfalls die bereits genannte Webseite https://www.microsoft.com/en-us/wdsi/filesubmission
Hält man die Prozesse ein, hat man weniger Probleme.
Zudem kann man im Windows Defender Ausschlüsse definieren, wenn man sehr häufig Software kompiliert und nicht möchte, das diese Dateien jedes mal Anschlagen. Somit ist der Windows Defender nicht "unbrauchbar" (bestätigt auch AV-Test), sondern man muss ihn nur richtig bedienen.
Ein Virenscanner, dem man ständig sagen muss, was eine normale Anwendung ist, ist unbrauchbar. Er verfehlt sein Designziel Schadsoftware zu erkennen. Denn dann kann ich auch eine Whitelist erstellen und jegliche Softwareausführung verbieten, die nicht in der Whitelist steht. Dafür brauche ich keinen Virenscanner.
eure Probs möcht ich mal haben – habsch aba nich.
regt euch weiter künstlich auf – was wär das "Leben" nur ohne borns…
:-P
Auf ein Ersatzprodukt … D. h. die neuen Risiken durch die meist grottigst programmierten AV-Alternativen sind dir lieber, als dem Defender zu sagen, dass alles cool ist. Kann man machen.
False positives sind immer unschön. Aber bis jetzt muss ich sagen hatte ich ein oder zwei false positives in 10 Jahren Defender Nutzung. Ich habe den Defender bzw. seinen Vorgänger Security Essentials auch auf Windows 7 und Windows Server 2008 R2 schon eingesetzt. Finde ich soweit alles im Rahmen. Im Gegensatz zu anderen Antivirus Lösungen hat der Defender zumindest bei mir noch nie zu einem nicht mehr bootendem System geführt weil plötzlich Systemdateien fehlten! Außerdem Office bzw. Excel ist doch schon zumindest PUP, nichts tötet meine Produktivität so schnell wie ein Microsoft Office Programm :)
In den letzten 7 Jahren habe ich auch nur 2-3 Meldungen gemacht und hatte nach ein paar Stunden eine korrigierte Signatur erhalten. Und ich verwende recht häufig Betaprogramme, daher sind es wirklich wenig False Positive Meldungen.
Der frühe Vogel fängt den Wurm bzw. gottseidank bin ich Spätaufsteher, somit habe ich die Aufregung verschlagen 😁
Aber Respekt das Sie noch bis 1 Uhr in der Früh am Blog aktiv sind.
Super ! Die Info hatte ich hier heute nacht schon gelesen, hat jetzt gerade direkt geholfen.
Bei uns wurden dadurch Drucker im Office Druck-Dialog als nicht erreichbar angezeigt, während es z.B. aus Notepad++ ganz normal funktionierte.
-> noch mal Windows Update getriggert um die aktuellsten Signaturen zu bekommen, und schon druckt's wieder.