Microsoft bestätigt: Der Defender hat legitime URLs oder Dateien als schädlich gemeldet (Defender Issue DZ534539)

Sicherheit (Pexels, allgemeine Nutzung)[English]Hattet ihr die letzten Tage beim Abrufen von Webseiten häufiger Meldungen des Microsoft Defender, der diverse (legitime) URLs geblockt hat. Oder wurde der Zugriff auf Dateien wegen angeblicher Malware blockiert? Microsoft hat inzwischen bestätigt, dass es ein Problem gab und der in Windows mitgelieferte Defender unberechtigt Zugriffe auf Dateien und URLs blockierte, weil diese als schädlich angesehen wurden.


Anzeige

Meldungen im Blog

Nutzer von Windows kommen bezüglich des Microsoft Defender nicht zur Ruhe. Der in Windows integrierte Defender ist mal wieder aufgefallen, weil er "frei drehend" verschiedene Dateien oder URLs als schädlich klassifizierte und den Zugriff verweigerte. Ich hatte im Blog-Beitrag Windows 11: Defender meldet RAR-Archive als Trojaner "Wacatac.H!ml" auf dieses Phänomen hingewiesen. Rückmeldungen in den Kommentaren ergab, dass einige Nutzer in unterschiedlichen Szenarien betroffen waren.

Microsoft bestätigt Defender-Probleme

Nun hat Microsoft bestätigt, dass es ein Problem mit dem Defender gegeben habe. Auf Twitter findet sich eine Reihe von Tweets, die auf das Problem eingehen. Vor Stunden schrieb Microsoft, dass man ein Problem untersuche, bei dem legitime URL-Links vom Microsoft Defender-Dienst fälschlicherweise als bösartig markiert werden. Außerdem zeigten einige der Warnungen nicht den erwarteten Inhalt an.

Defender Issue DZ534539

Am gestrigen Abend bestätigte Microsoft, dass vom Defender falsch-positiven Warnungen ausgelöst würden – Benutzer könnten weiterhin auf die legitimen URLs zugreifen. Die betreffenden Statusmitteilungen wurden im Microsoft 365 Admin Center unter der Kennung DZ534539 abgelegt. Später hieß es auf Twitter:

We determined that recent additions to the SafeLinks feature resulted in the false alerts and we subsequently reverted these additions to fix the issue. More detail can be found in the Microsoft 365 admin center under DZ534539.

Microsoft hat also ein Problem in seinem Feature SafeLinks festgestellt, was auf fehlerhafte Ergänzungen und in der Folge Meldungen des Defender zurück ging. Man hat diese Ergänzungen der SafeLinks-Funktion, die zu den falschen Warnungen geführt haben, rückgängig gemacht, um das Problem zu beheben. Ein Nutzer hat auf reddit.com in diesem Thread die nachfolgenden Statusmeldungen eingestellt. War jemand von euch betroffen?

Title: Admins may be receiving an unexpected amount of high severity alert email messages

User impact: Admins may be receiving an unexpected amount of high severity alert email messages.

More info: The high severity alert emails refer to 'A potentially malicious URL click was detected'. Additionally, admins may be unable to view alert details using the 'View alerts' link in the emails.

Current status: We're reviewing service monitoring telemetry to isolate the root cause and develop a remediation plan.

Scope of impact: Impact is specific to any admin served through the affected infrastructure.

Next update by: Wednesday, March 29, 2023, 3:30 PM (1:30 PM UTC)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Microsoft bestätigt: Der Defender hat legitime URLs oder Dateien als schädlich gemeldet (Defender Issue DZ534539)

  1. 1ST1 sagt:

    Da fehlt ein "hat" in der Überschrift, ließt sich so komisch…

    Mit mir will sich Microsoft offensichtlich nicht verderben, bei mir gab es diese Effekte (mal wieder) nicht. Irgendwas, das ist sicher, muss ich falsch machen…

  2. Anonymous sagt:

    Mit Pseodo-KI wie ChatGPT wäre das sicher nicht passiert. 😋

  3. Gabriel sagt:

    Hatte deswegen einige false positive Meldungen durch Defender ATP

  4. Stingray sagt:

    Hallo Zusammen,

    ja wir waren auch betroffen. Die Kombination von beiden Events war für ein Endpoint-Security Tool eigentlich dramatisch.

    Innerhalb von kurzer Zeit kamen mehrere Warnungen (zeitverzögert 20-40 Minuten!) ein, dass User auf credential phishing links geklickt hatten und potenziell Daten dort eingegeben wurden.

    Diese hatten sich dann mehrmals im Kreis gedreht, sodass wir am Ende für 7 User über 20 Events zu der gleichen Aktion hatten :O!

    Dazu gab es dann noch Zugriffsprobleme auf das Portal:
    Wir konnten zwar sehen, welche User betroffen waren, aber nicht was für Zugriffe erfolgten > d.h . das Defender-Portal hat uns keine URLs genannt, welche als schadhaft erkannt wurden oder welche Daten aufgerufen wurden.
    Auch über den ThreatExplorer oder über Exchange Online konnten wir diese Informationen nicht abfragen.

    Daher konnten wir nur die User kontaktieren und Old-School-like die Gemeinsamkeiten herausarbeiten.

    Natürlich hat jeder User gesagt "Was, habe ich gemacht? Nein, ich war die ganze Zeit in einem Meeting. Nein, soweit ich mir bewusst bin, habe ich dort auf keinen Link geklickt…."

    Die Eskalation bei Microsoft hat leider genauso wenig funktioniert, wie die versprochene Fixes der Daten danach. Im Action Center liegen immer noch die o. g. 20 Events.

    Summary:
    a) Links wurden als fehlerhaft erkannt
    b) Portal war fehlerhaft, somit keine Erkenntnis welche URL ggf. sofort manuell gesperrt werden sollte um weiteren Schaden zu vermeiden
    c) auch nachfolgend wurden die Zugriffe auf diese URLs weiterhin vom Defender zugelassen, die tolle KI dafür war anscheinend gerade auf Urlaub! :(
    > hier hätten wir erwartet, dass nach X Warnungen der Zugriff auf diese URL geblockt wird. Wenn der Threshold da erst ab 50 oder 100 zieht, ist das auch nochmals problematisch.

    Nachdem im security.microsoft.com in der Anzeige aber die URL gefehlt hat, hatte die KI vielleicht auch einfach einen DIS Tag (KI1a "da sind gefährliche links…"; KI1b"okay, aber von welchen links redet der";..). Und nein, ich mach mich nicht über Krankheiten wie DIS lustig!!

    Wir werden daher unsere Sicherheitslösungen überdenken und ggf. noch eine andere Ebene zu MS einführen, nur – wer soll das dann wieder alles administrieren und gegenseitige Wechselwirkungen erkennen oder managen?
    Früher hat man ja auch gerne auf dem Server einen anderen AV genutzt als auf den Clients um eine eine redundante Sicherheit zu erhalten, falls ein Anbieter bei den Pattern-Updates langsamer ist als der andere…. backt to the roots..?!

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.