{"id":292762,"date":"2024-02-27T07:30:46","date_gmt":"2024-02-27T06:30:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292762"},"modified":"2024-02-27T07:30:46","modified_gmt":"2024-02-27T06:30:46","slug":"defender-fails-hilfe-oder-eher-risiko-und-ist-der-letzte-fail-inzwischen-behoben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/27\/defender-fails-hilfe-oder-eher-risiko-und-ist-der-letzte-fail-inzwischen-behoben\/","title":{"rendered":"Defender-Fails: Hilfe oder eher Risiko – und ist der letzte Fail inzwischen behoben?"},"content":{"rendered":"

\"SicherheitIch habe noch ein kleines Thema, welches ich mal erneut im Blog aufgreifen m\u00f6chte. Wie gut sch\u00fctzt der Microsoft Defender und ist der nicht inzwischen das \"Damokles-Schwert\", welches \u00fcber der IT-Sicherheit schwebt? Es geht mir nicht um Erkennungsraten bei Schlangen\u00f6l, sondern um zwei handfeste Defender Vorf\u00e4lle. K\u00fcrzlich wurde bekannt, dass die Defender-Erkennung durch ein simples Komma ausgehebelt werden konnte. Und Mitte Februar 2024 schlugen Meldungen auf, dass der Defender wegen eines Memory-Leaks Exchange Server durch RAM Exhaustion ins Digitale Nirvana geschossen hat. <\/p>\n

<\/p>\n

Das ber\u00fchmte Komma und der Defender<\/h2>\n

\"\"Beim Stichwort Komma springt mir immer der Begriff \"Mariner I\" ins Ged\u00e4chtnis. Werden nur die \u00e4lteren Blog-Leser erinnern, die auch noch \"Fortran gelernt haben\". Mariner 1 sollte die erste US-Raumsonde werden, die 1962 zur Venus fliegen und diese erforschen sollte. Die Mission scheiterte wegen einer Fehlfunktion der Tr\u00e4gerrakete. Kolportiert wird, dass ein Fehler in Fortran (ein Punkt statt ein Komma) f\u00fcr das Scheitern verantwortlich war. Der Artikel hier<\/a> nennt aber mehrere m\u00f6gliche Gr\u00fcnde f\u00fcr den Fehlschlag. <\/p>\n

Kommen wir zur\u00fcck zum Microsoft Defender. Vor zwei Wochen machte die Meldung die Runde, dass der Microsoft Defender sich mit einem simplen Komma austricksen l\u00e4sst. Sicherheitsforscher John Page wies 2022 nach<\/a>, dass der Windows Defender sich mit einem simplen Befehl austricksen lie\u00df. Das wurde durch Microsoft zwischenzeitlich korrigiert. Der Benutzer erh\u00e4lt dann eine Meldung \"Zugriff verweigert\" mit dem Hinweis, dass eine Bedrohung gefunden wurde, angezeigt. K\u00fcrzlich hat Page einen weiteren Sicherheitshinweis ver\u00f6ffentlicht, in dem er einen neuen Bypass mit einem zus\u00e4tzlichen Komma vorgestellt hat.<\/p>\n

rundll32.exe javascript:\"\\..\\..\\mshtml,,RunHTMLApplication \";alert(666)<\/pre>\n
Die beiden Kommas in obigem Befehl bewirken, dass der Defender die Meldung \"Zugriff verweigert\" nicht mehr anzeigt, sondern dass ein Meldungsfeld mit dem Text 666 erscheint. Ich hatte es nicht im Blog thematisiert, aber sowohl Golem<\/a> als auch heise<\/a> haben das in Artikeln zum 12. und 13. Februar 2024 aufgegriffen. Warum schie\u00dft mir der Begriff \"Schlangen\u00f6l\" pl\u00f6tzlich durch den Hinterkopf?<\/p>\n
Defender l\u00e4sst Exchange Server abst\u00fcrzen<\/h2>\n
Dann gab es zum 15. Februar 2024 einen Leserkommentar im Diskussionsbereich des Blogs, der aber etwas untergegangen ist – sprich: Ich habe das nicht separat in einem Artikel herausgezogen. Das hole ich jetzt nach, verbunden mit der Frage, ob noch wer betroffen war und ob das Problem behoben ist. Der Leser schrieb:<\/p>\n
\n
Defender KB4052623 Product Version 4.18.24010.7-0 ist kaputt und zerschie\u00dft Exchange Server durch RAM Exhaustion. Ich kenne alleine drei Unternehmen aus meinem Administrator Freundeskreis die betroffen sind.\n<\/p>\n
L\u00f6sung 1: Defender deaktivieren.
L\u00f6sung 2: Defender in den \"passive mode\" schicken (EDR BlockMode)
L\u00f6sung 3. Defender rollback auf Stable 4.18.23110.3-0.<\/p>\n<\/blockquote>\n
Der Leser verlinkte auf den Microsoft Answers-Forenbeitrag MsMpEng.exe using all the RAM available<\/a> vom 8. Februar 2024. Dort wird best\u00e4tigt, dass der Prozess MsMpEng auf Windows Server 2019 allen verf\u00fcgbaren RAM aufbraucht. Irgendwann beginnt der IIS auszufallen und die Webanwendungen st\u00fcrzen ab. Auch SQL-Server melden auf den Servern Speicherprobleme. Ein Neustart hilft f\u00fcr 4-5 Stunden, dann ist das Problem wieder da. Der Defender  hat wohl in einer bestimmten Fassung ein Speicherleck. Ich habe nachgesehen, auf Seite 2<\/a> des MS-Answers-Forenbeitrags empfiehlt Microsoft-Mitarbeiter Yong Rhee, den Defender auf die vorherige Version zur\u00fcckzurollen. Das wurde auch noch zum 22. Februar 2024 als Workaround best\u00e4tigt. Frage in die Runde: Ist das jetzt behoben? <\/p>\n
Defender im Sicherheitscenter deaktiviert<\/h2>\n<\/p>\n
Der letzte Vorfall, der mir in diesem Kontext in den Sinn kommt, ist in meinem Beitrag Windows: Macht der Defender Probleme und ist im Sicherheitscenter deaktiviert? (Feb. 2024)<\/a> vom 22. Februar 2024 thematisiert. Ein Leser informierte mich, dass bei ihm der auf mehreren Maschinen der Defender im Sicherheitscenter (Windows-Sicherheit) als deaktiviert auftritt und sich nicht aktivieren l\u00e4sst. <\/p>\n
Betroffene Nutzer kommen auf der Verwaltungsseite des Defender nicht weiter, weil dort die Meldung kommt, dass der Defender vom Admin deaktiviert wurde und die Seite nicht aufgerufen werden kann. Ein Antivirus-Programm eines Fremdherstellers das \u00c4rger macht, kommt im aktuellen Fall nicht in Betracht. Eine Deaktivierung durch Schadsoftware oder einen Registrierungseintrag scheint auch nicht die Ursache zu sein. <\/p>\n
Es scheint kein Problem zu sein, welches Massen an Nutzer betrifft. Meine Umfrage in obigem Blog-Beitrag, ob noch wer betroffen ist, hat aber einige wenige R\u00fcckmeldungen weiterer Leser ergeben. Nutzer Valentin berichtet in diesem Kommentar<\/a>, dass das Problem mit der Installation von Microsoft Teams 2.0 in Zusammenhang stehen k\u00f6nnte. <\/p>\n
Ich verwende bei Windows 10 auch den von Microsoft mitgelieferten Defender. Wenn ich mir die obigen F\u00e4lle aber ansehe, stelle ich mir die Frage, wie gut dieser Virenschutz eigentlich ist und ob der nicht langsam zur Last am Fu\u00df wird. Wie ist eure Meinung?<\/p>\n","protected":false},"excerpt":{"rendered":"
Ich habe noch ein kleines Thema, welches ich mal erneut im Blog aufgreifen m\u00f6chte. Wie gut sch\u00fctzt der Microsoft Defender und ist der nicht inzwischen das \"Damokles-Schwert\", welches \u00fcber der IT-Sicherheit schwebt? Es geht mir nicht um Erkennungsraten bei Schlangen\u00f6l, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7862,161,301],"tags":[2699,4313,4325],"class_list":["post-292762","post","type-post","status-publish","format-standard","hentry","category-stoerung","category-virenschutz","category-windows","tag-defender","tag-virenschutz","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292762"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292762\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292762"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292762"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}