Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme

[English]Zum Jahresabschluss noch ein kleiner Sammelbeitrag rund um Microsofts-Virenschutzlösung Defender. Für Windows Server 2019 hat man mit den Dezember 2021-Updates ein Problem beim Defender wohl beseitigt. Dafür dümpelt ein Defender-Problem in Windows 8.1/Server 2012 R2 seit Monaten ungefixt dahin. Und zu allem Überfluss hat Microsoft einen Microsoft 365 Defender Log4j-Scanner ausgerollt, der im Defender einen Alarm des Prozesses OpenHandleCollector.exe auslöst.

Fix für Windows Server 2019/2022 Defender-Problem

Ich hatte es im Blog-Beitrag Windows Server 2019/2022: Der Microsoft Defender for Endpoint streikt nach Nov. 2021 Updates angesprochen. Microsoft musste eingestehen, es nach Installation bestimmter Updates auf Windows Server 2019 oder gar Windows Server 2022 der Microsoft Defender for Endpoint als Virenschutz Probleme macht und ggf. nicht mehr startet.

Mit den Dezember 2021-Sicherheitsupdates hat Microsoft dann das Problem des nicht mehr startenden Microsoft Defender in Windows Server Core (z.B. durch das kumulative Update KB5008218) behoben (siehe mein Blog-Beitrag Patchday: Windows 10-Updates (14. Dezember 2021)).

Defender Echtzeitschutz blockiert (Error 0x800705b4)

Im Blog-Beitrag Windows 8.1/Server 2012 R2: KB5003681 blockt Defender Echtzeitschutz (Error 0x800705b4) habe ich berichtet, dass das Juni 2021-Sicherheitsupdates KB5003681 (Security Only Quality) dem Echtzeitschutz des Windows Defender unter Windows 8.1 und Windows Server 2012 R2 blockieren kann. Der Defender lässt sich dann nicht mehr öffnen und stürzt mit dem Fehlercode 0x800705b4 ab. Nach Deinstallation des Updates funktioniert alles wieder.

Ich hatte im Blog-Beitrag einen möglicherweise funktionierenden Workaround beschrieben und die Hoffnung, dass Microsoft in den Folgemonaten Milch gibt und einen Fix bereitstellt. Zum 28. Dezember 2021 ist dieser Kommentar im Blog eingetroffen, dass der Echtzeitschutz des Windows Defender immer noch nicht funktioniere.

Fehlalarme durch Defender Log4j Scanner

Microsoft hat wohl einen  Log4j-Scanner für den Microsoft 365 Defender ausgerollt, aber nichts dokumentiert. Seit dieser Zeit meldet der Microsoft Defender for Endpoint plötzlich "sensor tampering"-Alarme und beanstandet einen Prozess OpenHandleCollector.exe. Ich bin über folgenden Tweet erstmals darauf gestoßen.

Der Nutzer fragt, ob noch jemand die Meldung "Mögliche Sensormanipulationen im Speicher wurden von Microsoft Defender für Endpoint erkannt" ("Possible sensor tampering in memory was detected by Microsoft Defender for Endpoint") bekomme. Diese wird von OpenHandleCollector.exe erstellt. Microsoft hat sich dann gemeldet und spricht von Fehlalarmen, die nun korrigiert seien.

Hi there, thank you for flagging this issue. Microsoft has updated cloud logic to suppress any false positives and has resolved the alerts on behalf of the customers.

Sicherheitsforscher Kevin Beaumont hat es in einer Reihe von Tweets aufgegriffen und schreibt:

It is something Microsoft have added to Defender for Endpoint it appears, new binary never seen before, that Defender for Endpoint's own EDR rules trigger on.. so it is detecting itself.

 

[…]

It looks like Microsoft rolled out a completely undocumented file globally, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection\OpenHandleCollector.exe, and ran it on Defender for Endpoint looking for log4j processes. But Defender detected it.

Der nachfolgende Tweet bestätigt dann, dass es sich wohl um Fehlalarme des Defender handele. Inzwischen haben die Kollegen von Bleeping Computer das Thema hier ebenfalls aufgegriffen und liefern noch einige Details.

Erste Meldungen auf Twitter gab es wohl schon zum 23. Dezember 2021. Laut Antworten von Microsoft arbeitet man an einem Fix und will das bereits behoben haben. Ist noch jemand betroffen?