Ich habe noch ein kleines Thema, welches ich mal erneut im Blog aufgreifen möchte. Wie gut schützt der Microsoft Defender und ist der nicht inzwischen das „Damokles-Schwert“, welches über der IT-Sicherheit schwebt? Es geht mir nicht um Erkennungsraten bei Schlangenöl, sondern um zwei handfeste Defender Vorfälle. Kürzlich wurde bekannt, dass die Defender-Erkennung durch ein simples Komma ausgehebelt werden konnte. Und Mitte Februar 2024 schlugen Meldungen auf, dass der Defender wegen eines Memory-Leaks Exchange Server durch RAM Exhaustion ins Digitale Nirvana geschossen hat.
Das berühmte Komma und der Defender
Beim Stichwort Komma springt mir immer der Begriff „Mariner I“ ins Gedächtnis. Werden nur die älteren Blog-Leser erinnern, die auch noch „Fortran gelernt haben“. Mariner 1 sollte die erste US-Raumsonde werden, die 1962 zur Venus fliegen und diese erforschen sollte. Die Mission scheiterte wegen einer Fehlfunktion der Trägerrakete. Kolportiert wird, dass ein Fehler in Fortran (ein Punkt statt ein Komma) für das Scheitern verantwortlich war. Der Artikel hier nennt aber mehrere mögliche Gründe für den Fehlschlag.
Kommen wir zurück zum Microsoft Defender. Vor zwei Wochen machte die Meldung die Runde, dass der Microsoft Defender sich mit einem simplen Komma austricksen lässt. Sicherheitsforscher John Page wies 2022 nach, dass der Windows Defender sich mit einem simplen Befehl austricksen ließ. Das wurde durch Microsoft zwischenzeitlich korrigiert. Der Benutzer erhält dann eine Meldung „Zugriff verweigert“ mit dem Hinweis, dass eine Bedrohung gefunden wurde, angezeigt. Kürzlich hat Page einen weiteren Sicherheitshinweis veröffentlicht, in dem er einen neuen Bypass mit einem zusätzlichen Komma vorgestellt hat.
rundll32.exe javascript:"\..\..\mshtml,,RunHTMLApplication ";alert(666)
Die beiden Kommas in obigem Befehl bewirken, dass der Defender die Meldung „Zugriff verweigert“ nicht mehr anzeigt, sondern dass ein Meldungsfeld mit dem Text 666 erscheint. Ich hatte es nicht im Blog thematisiert, aber sowohl Golem als auch heise haben das in Artikeln zum 12. und 13. Februar 2024 aufgegriffen. Warum schießt mir der Begriff „Schlangenöl“ plötzlich durch den Hinterkopf?
Defender lässt Exchange Server abstürzen
Dann gab es zum 15. Februar 2024 einen Leserkommentar im Diskussionsbereich des Blogs, der aber etwas untergegangen ist – sprich: Ich habe das nicht separat in einem Artikel herausgezogen. Das hole ich jetzt nach, verbunden mit der Frage, ob noch wer betroffen war und ob das Problem behoben ist. Der Leser schrieb:
Defender KB4052623 Product Version 4.18.24010.7-0 ist kaputt und zerschießt Exchange Server durch RAM Exhaustion. Ich kenne alleine drei Unternehmen aus meinem Administrator Freundeskreis die betroffen sind.
Lösung 1: Defender deaktivieren.
Lösung 2: Defender in den „passive mode“ schicken (EDR BlockMode)
Lösung 3. Defender rollback auf Stable 4.18.23110.3-0.
Der Leser verlinkte auf den Microsoft Answers-Forenbeitrag MsMpEng.exe using all the RAM available vom 8. Februar 2024. Dort wird bestätigt, dass der Prozess MsMpEng auf Windows Server 2019 allen verfügbaren RAM aufbraucht. Irgendwann beginnt der IIS auszufallen und die Webanwendungen stürzen ab. Auch SQL-Server melden auf den Servern Speicherprobleme. Ein Neustart hilft für 4-5 Stunden, dann ist das Problem wieder da. Der Defender hat wohl in einer bestimmten Fassung ein Speicherleck. Ich habe nachgesehen, auf Seite 2 des MS-Answers-Forenbeitrags empfiehlt Microsoft-Mitarbeiter Yong Rhee, den Defender auf die vorherige Version zurückzurollen. Das wurde auch noch zum 22. Februar 2024 als Workaround bestätigt. Frage in die Runde: Ist das jetzt behoben?
Defender im Sicherheitscenter deaktiviert
Der letzte Vorfall, der mir in diesem Kontext in den Sinn kommt, ist in meinem Beitrag Windows: Macht der Defender Probleme und ist im Sicherheitscenter deaktiviert? (Feb. 2024) vom 22. Februar 2024 thematisiert. Ein Leser informierte mich, dass bei ihm der auf mehreren Maschinen der Defender im Sicherheitscenter (Windows-Sicherheit) als deaktiviert auftritt und sich nicht aktivieren lässt.
Betroffene Nutzer kommen auf der Verwaltungsseite des Defender nicht weiter, weil dort die Meldung kommt, dass der Defender vom Admin deaktiviert wurde und die Seite nicht aufgerufen werden kann. Ein Antivirus-Programm eines Fremdherstellers das Ärger macht, kommt im aktuellen Fall nicht in Betracht. Eine Deaktivierung durch Schadsoftware oder einen Registrierungseintrag scheint auch nicht die Ursache zu sein.
Es scheint kein Problem zu sein, welches Massen an Nutzer betrifft. Meine Umfrage in obigem Blog-Beitrag, ob noch wer betroffen ist, hat aber einige wenige Rückmeldungen weiterer Leser ergeben. Nutzer Valentin berichtet in diesem Kommentar, dass das Problem mit der Installation von Microsoft Teams 2.0 in Zusammenhang stehen könnte.
Ich verwende bei Windows 10 auch den von Microsoft mitgelieferten Defender. Wenn ich mir die obigen Fälle aber ansehe, stelle ich mir die Frage, wie gut dieser Virenschutz eigentlich ist und ob der nicht langsam zur Last am Fuß wird. Wie ist eure Meinung?
mich erinnert das alles an eine umgedrehte pyramide:
immer mehr prozesse auch des täglichen lebens werden und sollen noch digitalisiert werden, wobei der „unterbau“, die sicherheit der basissysteme immer mehr löcher und risse durch ausforschen seitens krimineller bekommt.
„durch ausforschen seitens krimineller..“ äh … nein! Durch schlechte Programmierung und z.T. OverEngineering kommen solche Fehler, die Hacker schreiben nicht das OS um, dass macht M$, andere nutzen lediglich die neu „entwickelten“ Features für Ihre Zwecke :-)
Bei mir wars Sophos Intercept X Advanced dass mir meinen Veeam Essentials Server (normales Windows 10) ab Mitte Januar beinahe täglich ins RAM-ex Nirvana geschossen hatte. Dazu kommt generell noch ein recht heftiges Performance-Minus.
Irgendwelche Meldungen im Sophos Central? Denkste! Nix da!
Als Privatnutzer sehe ich den wesentlichen Mehrwert eines Virenscanners darin, dass er mir vor Ausführung eines Programms, insbesondere eines zur Installation einer Software, sagen kann, dass dieses Programm (a) bekannt und (b) nach allem, was man weiss, frei von Schädlingen ist. Eine Funktionalität, an deren Fehlen unter Linux ich mich zugegebenermassen noch nicht so richtig gewöhnt habe.
Konkret verwende auch ich — bislang problemlos — den Defender, weil ich nicht noch einem anderen Anbieter verraten muss, was alles bei mir installiert ist. Microsoft weiss das ja ohnehin schon.
„…weil ich nicht noch einem anderen Anbieter verraten muss, was alles bei mir installiert ist“
oder zb. Browser-Daten sammelt und weiter verkauft.
Computerbase meldet am 23.2.2024:
“ Vor rund vier Jahren wurde bekannt, dass der Hersteller von Antiviren-Software Avast über eine Tochterfirma Browsing-Daten ohne Wissen seiner Anwender veräußerte. Jetzt haben die Wettbewerbshüter der FTC eine Strafe von 16,5 Millionen US-Dollar gegen das Unternehmen verhängt und gleichzeitig den Verkauf der Daten untersagt. “
https://www.computerbase.de/2024-02/verkauf-von-nutzerdaten-ftc-verhaengt-millionenstrafe-gegen-avast/
Was hindert dich, unter Linux ebenfalls dein Schlangenöl zu installieren?
Der Hass auf Defender kann ich nur zum Teil verstehen. Ich war schon in einigen großen Enterprise Unternehmen zu gange und fast nirgendswo wurde Defender eingesetzt (damals war der auch nicht wirklich gut) sondern eher McAfee, Symantec usw was wir da für massive Probleme damit hatten, ist wirklich nicht zu ertragen und könnte ganze Bücher füllen. Jetzt haben wir Defender und sind bis auf wenige Ausnahmen eigentlich zufrieden. Es gibt noch einiges was mich am Defender stört, aber wenn ich zurückdenke was die anderen Produkte für schmerzen bereiten, da bleib ich doch lieber gerne beim Defender.
Das Exchange Problem gab es bei uns auch, Folge war bei uns das der Server extrem langsam geworden ist, weil alles durch das bottleneck Defender musste (remote Desktop kaum noch möglich, bei den Usern ist Outlook abgestürzt). Ist nicht sofort aufgefallen, da der Defender auf eine bestimmte RAM-Größe limitiert war, war ein großer Spaß.
Wir scannen jetzt auf einen Eintrag im Windows Defender Log (ID 5014), um zu erkennen wenn es wieder passiert.
Dann werden wir den Defender ab- und wieder einschalten…
Also, war es seit einem Sicherheitsupdate unter Win10+Win11 soweit, dass wenn keine andere Sicherheitslösung installiert ist, sich der Defender gar nicht mehr deaktivieren lässt?
Korrigiert mich falls ich da falsch liege?!
Schon aus diesem Grund würde ich immer zur Drittlösung greifen.
Bezüglich des Datenhandels möchte ich gerade nicht, dass ein Anbieter alle meine Daten abschnorchelt und zusammenführt …. Edge, Medienplayer, Defender, Outlook….
Deshalb setze ich auf die kostenpflichtige Lösung Bitdefender.
Auch weil ich Microsoft mit seiner Tapsigkeit kenne – wenn sie mal wieder das Vögelchen „abschießen“.
Ansonsten nutze ich Opera (bitteschön China), Brave, Libre Wolf, Thunderbird, Aimp, MPC BE und den VLC Media Player.
Mit Bitdefender hatte ich die letzten Jahre so gut wie absolut null Stress.
—Grüße—
PS: Und Smart Screen wird bei mir natürlich deaktiviert. Dafür hab ich erstens den Bitdefender und zweitens aktiviere ich lieber unter Kernisolierung die Speicher-Integrität und aktiviere im Bios (Intel 12th Gen) die Speicherverschlüsselung
du kannst den Defender seit 08.2020 nicht mehr per Policy/Reghack unternehmensweit abschalten. das macht absolut Sinn. das ist das erste, was Angreifer machen.
am System selbst geht es mit einen adminaccount.
Ja, kann ich bestätigen, mails haben extrem lange zur Zustellung gebraucht, bei den betroffenen Servern, Defender läuft dort eigentlich nur als „Backup“. Hatte eine Weile gebraucht bis dann der Server neugestartet wurde, da er die meiste Zeit unresponsive war.
nach meiner Analyse nach könnte es aber schon seit 30.01. das Problem bestanden haben und hat dann bis 8.2. den RAM „aufgebraucht“.
Ich selbst habe solche Fälle erst seit dem Wochenende bei Kunden. Bisher unter Windows 10 und 11. Der Defender erkennt nicht, das der Antivirenschutz von Securepoint aktuell ist und meldet das der Virenscan nicht mehr aktuell ist.
Andere Systeme haben das Problem nicht.