{"id":261044,"date":"2021-12-30T13:41:59","date_gmt":"2021-12-30T12:41:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261044"},"modified":"2021-12-31T01:16:01","modified_gmt":"2021-12-31T00:16:01","slug":"windows-defender-fixes-probleme-und-log4j-scanner-fehlalarme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/30\/windows-defender-fixes-probleme-und-log4j-scanner-fehlalarme\/","title":{"rendered":"Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Zum Jahresabschluss noch ein kleiner Sammelbeitrag rund um Microsofts-Virenschutzl\u00f6sung Defender. F\u00fcr Windows Server 2019 hat man mit den Dezember 2021-Updates ein Problem beim Defender wohl beseitigt. Daf\u00fcr d\u00fcmpelt ein Defender-Problem in Windows 8.1\/Server 2012 R2 seit Monaten ungefixt dahin. Und zu allem \u00dcberfluss hat Microsoft einen Microsoft 365 Defender Log4j-Scanner ausgerollt, der im Defender einen Alarm des Prozesses OpenHandleCollector.exe<\/em> ausl\u00f6st.<\/p>\n

<\/p>\n

Fix f\u00fcr Windows Server 2019\/2022 Defender-Problem<\/h2>\n

\"\"Ich hatte es im Blog-Beitrag Windows Server 2019\/2022: Der Microsoft Defender for Endpoint streikt nach Nov. 2021 Updates<\/a> angesprochen. Microsoft musste eingestehen, es nach Installation bestimmter Updates auf Windows Server 2019 oder gar Windows Server 2022 der Microsoft Defender for Endpoint als Virenschutz Probleme macht und ggf. nicht mehr startet.<\/p>\n

Mit den Dezember 2021-Sicherheitsupdates hat Microsoft dann das Problem des nicht mehr startenden Microsoft Defender in Windows Server Core (z.B. durch das kumulative Update KB5008218<\/a>) behoben (siehe mein Blog-Beitrag Patchday: Windows 10-Updates (14. Dezember 2021)<\/a>).<\/p>\n

Defender Echtzeitschutz blockiert (Error 0x800705b4)<\/h2>\n

Im Blog-Beitrag Windows 8.1\/Server 2012 R2: KB5003681 blockt Defender Echtzeitschutz (Error 0x800705b4)<\/a> habe ich berichtet, dass das Juni 2021-Sicherheitsupdates KB5003681 (Security Only Quality) dem Echtzeitschutz des Windows Defender unter Windows 8.1 und Windows Server 2012 R2 blockieren kann. Der Defender l\u00e4sst sich dann nicht mehr \u00f6ffnen und st\u00fcrzt mit dem Fehlercode 0x800705b4 ab. Nach Deinstallation des Updates funktioniert alles wieder.<\/p>\n

Ich hatte im Blog-Beitrag einen m\u00f6glicherweise funktionierenden Workaround beschrieben und die Hoffnung, dass Microsoft in den Folgemonaten Milch gibt und einen Fix bereitstellt. Zum 28. Dezember 2021 ist dieser Kommentar<\/a> im Blog eingetroffen, dass der Echtzeitschutz des Windows Defender immer noch nicht funktioniere.<\/p>\n

Fehlalarme durch Defender Log4j Scanner<\/h2>\n

Microsoft hat wohl einen\u00a0 Log4j-Scanner f\u00fcr den Microsoft 365 Defender ausgerollt, aber nichts dokumentiert. Seit dieser Zeit meldet der Microsoft Defender for Endpoint pl\u00f6tzlich \"sensor tampering\"-Alarme und beanstandet einen Prozess OpenHandleCollector.exe. <\/em>Ich bin \u00fcber folgenden Tweet<\/a> erstmals darauf gesto\u00dfen.<\/p>\n

\"Anyone<\/a><\/p>\n

Der Nutzer fragt, ob noch jemand die Meldung \"M\u00f6gliche Sensormanipulationen im Speicher wurden von Microsoft Defender f\u00fcr Endpoint erkannt\" (\"Possible sensor tampering in memory was detected by Microsoft Defender for Endpoint\") bekomme. Diese wird von OpenHandleCollector.exe <\/em>erstellt. Microsoft hat sich dann gemeldet und spricht von Fehlalarmen, die nun korrigiert seien.<\/p>\n

Hi there, thank you for flagging this issue. Microsoft has updated cloud logic to suppress any false positives and has resolved the alerts on behalf of the customers.<\/p><\/blockquote>\n

Sicherheitsforscher Kevin Beaumont hat es in einer Reihe von Tweets<\/a> aufgegriffen und schreibt:<\/p>\n

It is something Microsoft have added to Defender for Endpoint it appears, new binary never seen before, that Defender for Endpoint's own EDR rules trigger on.. so it is detecting itself.<\/p>\n

 <\/p>\n

[…]<\/p>\n

It looks like Microsoft rolled out a completely undocumented file globally, C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\DataCollection\\OpenHandleCollector.exe, and ran it on Defender for Endpoint looking for log4j processes. But Defender detected it.<\/p><\/blockquote>\n

Der nachfolgende Tweet<\/a> best\u00e4tigt dann, dass es sich wohl um Fehlalarme des Defender handele. Inzwischen haben die Kollegen von Bleeping Computer das Thema hier<\/a> ebenfalls aufgegriffen und liefern noch einige Details.<\/p>\n

<\/a><\/p>\n

Erste Meldungen auf Twitter<\/a> gab es wohl schon zum 23. Dezember 2021. Laut Antworten von Microsoft<\/a> arbeitet man an einem Fix und will das bereits behoben haben. Ist noch jemand betroffen?<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum Jahresabschluss noch ein kleiner Sammelbeitrag rund um Microsofts-Virenschutzl\u00f6sung Defender. F\u00fcr Windows Server 2019 hat man mit den Dezember 2021-Updates ein Problem beim Defender wohl beseitigt. Daf\u00fcr d\u00fcmpelt ein Defender-Problem in Windows 8.1\/Server 2012 R2 seit Monaten ungefixt dahin. Und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[2699,24,4313],"class_list":["post-261044","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-defender","tag-problem","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261044","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261044"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261044\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261044"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261044"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261044"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}