{"id":234124,"date":"2020-08-04T07:35:14","date_gmt":"2020-08-04T05:35:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234124"},"modified":"2020-08-08T11:23:59","modified_gmt":"2020-08-08T09:23:59","slug":"windows-defender-blockt-hosts-eintrge-mit-umleitungen-von-microsoft-seiten-teil-3","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/04\/windows-defender-blockt-hosts-eintrge-mit-umleitungen-von-microsoft-seiten-teil-3\/","title":{"rendered":"Defender blockt hosts-Einträge mit Umleitungen von Microsoft-Seiten – Teil 3"},"content":{"rendered":"

[English<\/a>]Microsoft hat damit begonnen, in seinen Antivirus-Produkten wie dem Microsoft Defender Umleitungen in der Windows-eigenen hosts<\/em>-Datei, die Microsoft-Seiten betreffen, als sch\u00e4dlich einzustufen, als\u00a0 HostFileHijack zu kategorisieren und zu blockieren. Ich hatte das bereits in Teil 2<\/a> der Artikelserie angesprochen – jetzt ergibt sich aber ein vollst\u00e4ndigeres Bild.<\/p>\n

<\/p>\n

Die hosts-Datei in Windows<\/h2>\n

\"\"In Windows gibt es die hosts-Datei, eine einfache Textdatei, die sich in folgendem Ordner befindet.<\/p>\n

C:\\Windows\\System32\\drivers\\etc\\hosts<\/p>\n

Windows erm\u00f6glicht Administratoren \u00fcber die hosts-Datei recht einfach Umleitungen von Host-Namen auf IP-Adressen einzurichten. Einige Nutzer verwenden Eintr\u00e4ge in der hosts<\/em>, um Microsoft Netzwerkadressen, an die Telemetriedaten \u00fcbertragen werden, auf die lokale IP-Adresse 127.0.0.0 umzuleiten. Dann kann der betreffende Microsoft-Server nicht mehr erreicht werden.<\/p>\n

Microsoft schiebt einen Riegel vor<\/h2>\n

Dieser Ansatz wird jetzt durch Microsoft auf Systemen, auf denen der Windows Defender (oder eine andere Microsoft Antivirus-L\u00f6sung) l\u00e4uft, wohl unterbunden. Ich hatte im Blog-Beitrag Windows Defender bem\u00e4ngelt Windows Hosts-Datei \u2013 Teil 2<\/a> berichtet, dass der Microsoft Defender die Windows-eigene hosts<\/em>-Datei als sch\u00e4dlich betrachtet und als\u00a0 HostFileHijack bemeckert. Das Ganze passiert seit dem 28. Juli 2020 mit folgenden Komponenten:<\/p>\n

Antimalware-Clientversion: 4.18.2006.10
\nModulversion: 1.1.17300.4
\nAntiviren-Version: 1.321.144.0
\nAntispyware-Version: 1.321.144.0<\/p>\n

Der Blog-Leser, der das beobachtet hat und einen Tipp gab, schrieb dazu noch: Da hat wohl erst jetzt jemand bemerkt das Statistik, Telemetrie, Bing\u2026 gewisser Clients nicht mehr zuverl\u00e4ssig ankommt. <\/em>Die letzte Information war f\u00fcr mich noch nicht so ganz fassbar, auch wenn Blog-Leser Info inzwischen diesen Kommentar<\/a> in Teil 2 nachgetragen hat. Das Gleiche gilt f\u00fcr die Bemerkungen von Mark Heitbrink in seinem gestrigen Kommentar<\/a>. Das ist mir erst nachtr\u00e4glich bewusst geworden, als die nachfolgenden Puzzleteile ins Bild fielen. Daher fasse ich das nachfolgend nochmals zusammen.<\/p>\n

Defender blockt bei umgeleiteten Microsoft-Seiten<\/h2>\n

Ich habe die Nacht auf Twitter mit Lawrence Abrams von Bleeping Computer in einer privaten Kommunikation \u00fcber das Thema diskutiert. Er war \u00fcber die englischsprachige Fassung meines Beitrags auf den Sachverhalt aufmerksam geworden. Also hat er sich das Ganze nochmals vorgenommen, getestet und ist auf einige Zusammenh\u00e4nge gesto\u00dfen. Dazu hat Lawrence nun einige erg\u00e4nzende Informationen auf Bleeping Computer<\/a> ver\u00f6ffentlicht.<\/p>\n

\n

After learning about this today from @etguenni<\/a>, BleepingComputer performed some tests to see if this was a false positive or something else triggering the detections.<\/p>\n

\u2014 BleepingComputer (@BleepinComputer) August 3, 2020<\/a><\/p><\/blockquote>\n