[English]Kurze Frage in die Runde der Administratoren und Nutzer, die den Microsoft Defender als Sicherheitslösung in Windows einsetzen. Gab es zum heutigen 3. Februar 2023 Probleme mit Anwendungen wie Microsoft Outlook oder stürzen Office-Anwendungen plötzlich bei Auswahl verschiedener Funktionen wie Schnellauswahl ab? Ein Leser hat mich mit einer Beobachtung konfrontiert, die auf Probleme mit einem Defender Update hinweisen könnten. Ergänzung: Zusätzliche Informationen des Betroffenen hinzugefügt.
Anzeige
Blog-Leser Mirko C. hat mich zum heutigen 3. Februar 2023 gegen frühen Nachmittag per Mail kontaktiert und fragte, ob mir Probleme mit dem Microsoft Defender bekannt seien. In seiner Unternehmensumgebung gibt es plötzlich massive Probleme mit Office-Anwendungen. Dazu schreibt Mirko:
Hallo Herr Born,
gibt es schon wieder Probleme mit den Defender Signaturen?
Seit 10:40 Uhr meldet unser Defender im E3 Plan bei mehreren Usern
Blockierte App oder Prozess: OUTLOOK.EXE
Blockiert durch: Verringerung der Angriffsfläche
Regel: Ausführbare Inhalte von E-Mail-Client und Webmail blockieren
Betroffene Elemente: C:\Users\xxx\AppData\Local\Temp\IntResource.dll
Diese Warnung kam aus dem nichts, ohne aktiven Maileingang und ohne das Öffnen einer Mail.
Seit dem letzten ASR Problem, welches übrigens weit mehr Probleme verursacht hat als nur gelöschte Verknüpfungen, bin ich dem Defender gegenüber sehr misstrauisch geworden.
Bei uns funktionieren seit dem sämtliche Addins nicht mehr und teilweise stürzen die Office Programme bei der Verwendung der Schnellauswahl der Autokorrektur ab.
Gibt es jemanden, der ähnliches beobachtet hat? Das erwähnte ASR-Problem ist im Beitrag Microsoft ASR/Defender-Update löscht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr beschrieben.
Ergänzung: Ein Benutzer hat mir auf Facebook den Kommentar hinterlassen, dass bei ihm unter Windows 11 sowohl Microsoft Word, als auch Microsoft Excel öfters hängen bleiben. Weitere Details gibt es aber nicht.
Ergänzung 2: Ein Benutzer hat mir auf Twitter den Kommentar Ich hatte es, dass er einfach das offizielle Webex Plugin blockt, aber nur eine alte Cisco Spark Datei davon. Hatte keinen Impact. hinterlassen.
Ergänzun 3: Der Betroffene hat mir zum 10. Februar 2023 noch folgende ergänzende Informationen nachgeliefert.
Die Datei IntResource.dll wird nur dann geladen, wenn auf den Clients der NetPhone Client bzw. der Swyxit! Client installiert ist und Outlook geschlossen wird.
Ich habe dazu bei Enreach (ehem. Swyx) nachfragen lassen, ob sie dies so bestätigen und mir ggf. Auskunft darüber geben können, was dieser Vorgang beim Beenden von Outlook genau macht.
Eine Antwort steht noch aus. Es ist aber davon auszugehen, dass das Blockieren durch die ASR Regel false positiv ist.
Das Blockieren der InResource.dll hat bisher noch keine feststellbare Fehlfunktion herbeigeführt. Sobald weitere Informationen von Enreach vorliegen, melde ich mich nochmals bei ihnen.
Ähnliche Artikel:
Microsoft ASR/Defender-Update löscht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr
Windows löscht Verknüpfungen; Microsoft erklärt Windows Defender ASR-Problem vom 13. Jan. 2023
Killt das Defender Definition Update (1.381.2363.0) Windows bei Verwaltung per Intune
2015
Ich hatte heute keinerlei Probleme mit Outlook oder anderen Anwendungen von MS Office.
Habe heute sogar recht viele E-Mails verschickt, am Kalender gearbeitet, diverse Aufgaben erstellt usw.
Hab mehrere Tabellen mit Excel erstellt und einige Briefe usw. mit Word geschrieben und war sehr Intensiv mit One Note zugange.
Auch meine Frau hat heute normal gearbeitet und Nutzt verschiedene Office Produkte inkl. Outlook.
Allerdings waren wir auch beide nicht von dem benannten ASR/Defender-Update Problem betroffen.
Beide Rechner setzen auf den Defender als Sicherheitslösung.
Aktuelle Windows Builds (mein System im Preorder Ring) und aktuelle Defender Updates Installiert. Beide Rechner mit Windows 10 Pro und Office 365 bestückt.
Nein nichts bekannt bei uns. Läuft alles normal -Defender for Business ATP
Wenn man ehrlich ist, sollte kein Programm regulär eine DLL aus %TEMP% laden. Insofern ist die Meldung gerechtfertigt, wenn die DLL wirklich dort liegt. Sollte das der Fall sein, stellt sich die Frage, wie sie dorthin kam (und was deren Eigenschaften z.B. über den Hersteller sagen).
Grüße
Nee stimmt, sollte man nicht. Darum legen die Angreifer dort ja auch längst nichts mehr hin.
Mal die dll bei Virustotal anliefern?
was sagt die Analyse? (hinter dem 2. Reiter)
und wie schon gesagt temp für dlls nutzen ist übler Stil.
Man will damit das Schutz Prinzip umgehen..
Warum kann man bei dem tollen NTFS eigentlich kein Ausführungs Verbot setzen¿?