[English]Kleine Information für Nutzer der Sophos Sicherheitslösungen in Unternehmen. Der Anbieter Sophos hat gerade damit begonnen, ein Update zur Korrektur der Windows-Patchday-Probleme, die durch seine Produkte verursacht werden, auszuliefern. Hier ein paar Informationen zum Thema.
Worum geht es genau?
Am 9. April 2019, hat Microsoft diverse Sicherheitsupdates für verschiedene Windows-Versionen freigegeben, die zu Installationsproblemen führten, wenn bestimmte Antivirus-Software von Drittherstellern installiert war. Das Ganze reichte von nicht mehr bootenden und einfrierenden bis zu extrem verlangsamten Systemen. Ich hatte in diversen Blog-Beiträgen, u.a. im Artikel Windows Patchday Probleme, eine Woche später (17.4.2019), darüber berichtet.
Bezüglich Sophos galt, dass der Hersteller und Microsoft ein Problem auf Geräten mit Sophos Endpoint Protection identifiziere konnten, die entweder Sophos Central oder Sophos Enterprise Console (SEC) installiert haben und/oder von diesen Schutzlösungen verwaltet werden. Dort kann es sein, dass das System nach der Installation dieses Updates beim Neustart nicht mehr reagiert.
Microsoft hat daher alle Windows-Systeme, auf denen Sophos Endpoint installiert ist, vorübergehend vom Erhalt der April 2019-Sicherheitsupdates ausgeschlossen. Diese Blockade gilt laut Microsoft, bis eine Lösung verfügbar ist. Weitere Details finden sich im Laufe des nachfolgenden Texts.
Micro-Updates und Workarounds
Sophos hatte dann für Kunden von Sophos Endpoint und Sophos Enterprise Console Anleitungen mit einem Workaround publiziert, wie man das Problem bei betroffenen Systemen lösen konnte. Gleichzeitig wurden Micro-Updates als schneller Fix für das Problem freigegeben.
Unter der Haube passierte folgendes: Die Micro-Patches fügten Ausnahmen für Scan-Regeln ein, so dass die Sophos-Produktverzeichnisse unter:
%programfiles(x86)%\Sophos\Sophos Anti-Virus\
von Scans ausgenommen wurden. Details dazu finden Sie in diesem Sophos Support-Artikel. Ich hatte Donnerstag, den 25. April 2019, noch diesbezüglich mit einem Administrator gechattet, der Sophos-Lösungen in Firmenumgebungen einsetzt. Dieser beklagte sich darüber, dass auch 2 Wochen später noch ‘keine Updates’ verfügbar wären. Auf meine Nachfrage, dass es doch Updates von Sophos gäbe, schrieb er:
Nein, haben sie leider nicht. Nur Ausnahmen gesetzt das bestimmte Ordner nicht überwacht werden. Das konnte ich in der Enterprise Konsole prüfen. Warte auch auf das Update von Sophos.
Also genau der Workaround, den Sophos auch in seinem Support-Artikel vorschlägt. Zu den tieferen Ursachen des Problems hielt Sophos sich ja bedeckt. Aber im Blog-Beitrag Der Grund für die Windows-Probleme mit April-Updates und AV-Programmen hatte ich ja eine Information, die von Mc Afee als Problemursache genannt wurde, näher erläutert. Die Beschreibung trifft nach meiner Einschätzung auch auf die Sophos-Schutzlösungen zu.
Scheint ein größeres Problem zu sein
In der Nacht von Donnerstag auf Freitag (25./26.4.2019) habe ich einen Beitrag zum Antivirus-Software-Patchday-Problem für Heise geschrieben und mich gewundert, warum immer noch keine Vorschau-Updates für Windows durch Microsoft bereitgestellt wurden. Ich hatte im Artikel Windows: Wo bleiben die Preview-Updates für April 2019? darüber spekuliert, dass es mit der Antivirus-Problematik zusammen hängen könnte. Auch Sophos hatte in seinem Support-Beiträgen noch nichts von finalen Updates geschrieben. Die Microsoft KB-Artikel enthielten bei meiner Kontrolle am 26.4.2019, um 2:00 Uhr auch keine Neuerungen bezüglich der Antivirus-Problematik.
Das hatte ich auch so in meinem Text angemerkt. Glücklicherweise brauchen Artikel bei Heise ein paar Stunden, weil die in der Redaktion gegen gelesen und geprüft werden (der Artikel geht erst Samstag online). Am frühen Morgen des 26. April 2019, gut 4 Stunden, nachdem ich den Text verfasst hatte, stellte ich zweierlei fest:
- Seit den frühen Morgenstunden des 26. April 2019 (MEZ) stellte Microsoft doch Vorschau-Updates für die diversen Windows Version bereit.
- In den Known Issues-Abschnitten der KB-Artikel fand ich den fetten Hinweis von Microsoft, dass auch bei den Preview-Updates die Probleme mit Antivirus-Software von Sophos, Avast, Avira etc. beständen.
Für Sophos war explizit vermerkt, dass Microsoft die Probleme mit dem Hersteller untersuche und die Update-Verteilung auf Maschinen mit den entsprechenden Produkten blockiere.
Sophos wird konkreter und stellt ein Update bereit
Das Ganze scheint aber recht dynamisch abzulaufen. Denn von der Heise-Redaktion wurde ich am späten Freitag-Nachmittag darauf hingewiesen, dass Sophos ‘doch Updates anbiete’, wie die Herstellerseite angebe. Der Hersteller hat seinen Support-Artikel 133945 zum 26. April 2019 aktualisiert – wohl auch erst, nachdem ich in der Nacht dort vorbei geschaut hatte. In der aktuellen Fassung findet sich dort folgende Kernbotschaft:
Microsoft has released updates on April 9, 2019 that are impacting some security AV vendors, causing some customers using Windows 7, Windows 8.1, Windows 2008, Windows 2008 R2, Windows 2012 and Windows 2012 R2 to occasionally experience system fails or hangs during boot up after application of the update.
Sophos has been working non-stop to resolve the issue. We quickly coordinated a temporary block that prevents the Microsoft update from being visible for download if the Sophos endpoint is installed. This has been successful in preventing system failures, and allowed us to investigate a permanent resolution. The block will remain in place until the resolution is fully tested and rolled out to customers.
The temporary solution includes an exclusion that works for all of our customers. These exclusions have been automatically added in Sophos Central and Sophos Enterprise Console (versions 5.5.x) and can also be manually added to SEC 5.4.1, UTM Managed Endpoints and Standalone Endpoints/Servers. The exclusions prevent system issues even if the Microsoft update is installed.
We have identified a permanent fix and are now automatically rolling out the fix to customers starting 25th April 2019. This will take place over a two to three week period. To check if you have received the fix see the ‚How to confirm if you have received the fix‘ section linked under each product.
Sophos stellt also seit dem 25. April 2019 nun Updates für die genannten Produkte bereit, die die oben erwähnten Probleme mit Windows-Updates beheben sollen. Allerdings erfolgt die Verteilung wohl stufenweise. Sophos schreibt von zwei bis drei Wochen, bis alle Maschinen das Update erhalten haben.
Administratoren sollten aufpassen!
Für Administratoren im Firmenumfeld, die Sophos-Sicherheitslösungen einsetzen, heißt es, aufmerksam zu sein. Solange keine Aktualisierung für die Sophos-Lösung installiert ist, kann es zu den Update-Installations-Problemen kommen. Wie man prüft, ob das Update vorliegt, hat Sophos im Support-Artikel 133945 beschrieben. Dort werden auch die unterschiedlichen Versionen aufgelistet, die den Fix bereits enthalten.
Für Administratoren ist zudem die Information wichtig, dass Microsoft zwar weiterhin die Verteilung der (Vorschau- und Sicherheits-) Updates auf betroffenen Maschinen (über Windows Update) blockiert. Microsoft plant aber, diese temporäre Blockade ab dem 06. Mai 2019 zu beenden.
Bis zum 6.5.2019 sind es nach meinem Kalender aber nicht mal 2 Wochen. Sophos schreibt aber, dass die Update-Verteilung bis zu drei Wochen dauern könne. Administratoren sollten das im Hinterkopf behalten. Denn sobald Microsoft die Update-Blockade aufhebt, wird es auf Maschinen, die noch kein Sophos-Update erhalten haben, wieder Probleme geben.
Sofern Windows Server Update Services (WSUS) oder eine Drittanbieter-Lösung zur Verteilung der Windows-Updates eingesetzt wird, lautet die Empfehlung: Das Ausrollen der Aktualisierungen aus der genehmigten Liste der Updates solange zu verzögern oder die Aktualisierung auf den Computern ausschließen, bis Sophos den Rollout des AV-Updates abgeschlossen hat. Bis dahin gilt die von Sophos im Support-Artikel 133945 beschriebene temporäre Lösung (falls jemand sich dafür entscheidet, die Windows-Updates zu installieren, bevor Sophos seine Produkte aktualisiert hat).
Ähnliche Artikel:
Windows Patchday Probleme, eine Woche später (17.4.2019)
Sophos und die Fehlalarme der letzten Tage (April 2019)
Avira-Update soll Windows April Patchday-Probleme beseitigen
Der Grund für die Windows-Probleme mit April-Updates und AV-Programmen