[English]Der Dezember 2023 Patchday von Microsoft hat wohl zu Problemen bei Systemen geführt, auf denen ESET File Security v9.0.12013.0 (heißt inzwischen "ESET Server Security") verwendet wird. Durch den nach der Update-Installation erforderlichen Neustart versagt die Virenschutzlösung von ESET anschließend möglicherweise ihren Dienst. Es kommt dann die Meldung, dass diverse Schutzfunktionen deaktiviert sind. Ursache ist ein ausgelaufenes Zertifikat. Ein Blog-Leser hat mich über das Problem informiert und gleich einen Workaround mitgeliefert. Ich stelle den Sachverhalt mal hier im Blog ein – vielleicht hilft er Betroffenen.
Anzeige
ESET File Security
Wenn ich es richtig gesehen habe, ist "ESET File Security" der alte Name für ein Produkt, welches inzwischen als "ESET Server Security für Microsoft Windows Server" in der Version 10.x vertrieben wird (siehe und nachfolgende Tabelle). In den Download-Dateinamen findet sich aber immer noch der Begriff efsw.
ESET Server Security ist eine integrierte Lösung, die laut Hersteller eigens für Microsoft Windows Server-Umgebungen entwickelt wurde. ESET Server Security bietet mit zwei Schutzarten wirksamen und sicheren Schutz gegen verschiedene Arten von Schadsoftware: Malware-Schutz und Spyware-Schutz. Das Produkt steht für Windows Server 2012 / R2 sowie Windows Server 2016 – 2022 zur Verfügung. Gemäß obiger Tabelle ist die Version noch bis zum 31. März 2026 im Einsatz und hat am 26. September 2023 letztmalig ein Update bekommen – die Version v9.0.12013.0 datiert laut dieser Seite vom 7. Juli 2022.
ESET File Security v9.0.12013.0 macht Probleme
Blog-Leser Sebastian hat mich gerade per E-Mail-Kontaktiert, weil er im Zusammenhang mit dem Dezember 2023-Patchday für Windows auf ein Problem in Verbindung mit ESET File Security v9.0.12013.0 gestoßen ist. Er schrieb mir, dass er eine Vielzahl an Kundensystemen betreut, die wohl häufig ESET als Antiviruslösung, unter anderem ESET File Security in der Version 9.0.12013.0, im Einsatz haben.
Sebastian merkt dabei an, dass die Version 9 Ende November EOL gegangen sei, sprich der Limited Support sei ausgelaufen. Die Aussage finde ich etwas verwirrend, da obige Tabelle das EOL für März 2026 angibt – aber vielleicht interpretiere ich was falsch.
Zum 12. Dezember 2023 war bei Microsoft der monatliche Windows Patchday, und laut Sebastian habe eine Vielzahl an Systemen daher "heute Nacht" (also von 12. auf den 13. Dez. 2023) einen Neustart durchgeführt. Diese Konstellation finde ich persönlich "sportlich", denn ich impliziere, dass bei den Systemen eine automatische Update-Installation erfolgt. Bei Windows Server-Installationen heißt dies, dass jeder Patchday das Risiko bietet, dass anderntags nichts mehr läuft, wenn die Update-Installation schief läuft und den Server lahm legt. Aber möglicherweise interpretiere ich da was falsch und die Update-Installation wurde manuell angestoßen.
Bei den Kunden von Sebastian hat sich am Morgen des 13. Dezember 2023 dann ein ganz spezielles Fehlerbild bei den Servern, auf denen ESET File Security installiert war, ergeben. Die Windows Server starteten auf Grund der Update-Installation neu und funktionierten auch noch. Auf allen Windows Server-Systemen ab 2016, auf denen die ESET File Security Version v9.0.12013.0 installiert ist, streikt ESET nach dem Neustart. Die Sicherheitslösung meldet, dass diverse Schutzfunktionen deaktiviert sind:
ESET File Security v9.0.12013.0-Warnung; Zum Vergrößern klicken
Ein Neustart bringt laut dem Leser nichts. Und die eingebaute Update-Funktion, um ESET via zentralem Management (ESET PROTECT) auf eine neue Version zu heben, funktioniert auch nicht.
Anzeige
Der Leser dachte zuerst, die Ursache liegt an den aktuellen Windows Updates. Im ESET-Forum hatte aber bereits jemand das Problem diesen Montag (11. Dezember 2023), also vor dem Patchday, gemeldet. Dort scheiterte das Upgrade auf ESET Server Security 10 und nach dem Neustart war die Sicherheitslösung kaputt. Ergo hängt der oben beschriebene Effekt, dass die Sicherheitslösung eine Sicherheitswarnung generiert, nicht mit dem Windows-Update, sondern nur mit dem erforderlichen Neustart des Systems, zusammen.
Zertifikat ausgelaufen – ein Fix
Im Forumsthread beschreibt der ESET-Mitarbeiter und Moderator, dass die Ursache daran liegt, dass das SHA256 Entrust Zertifikat abgelaufen sei und die fragliche ESET Version das neue Zertifikat nicht verifizieren könne.
The Entrust certificate expired on December 7. Only ESET File Security for Windows v9.0.12018 and newer have drivers that can verify the new certificate.
Da eine ESET-Installation in diesem Zustand kein Remote-Update ermöglicht, muss man laut Blog-Leser, nach aktuellem Stand, alle betroffenen ESET-Systeme manuell anfassen. Ein Mitarbeiter beim technischen Support hat dem Leser dazu folgendes Vorgehen vorgeschlagen:
- Das Host-based Intrusion Prevention System (HIPS) in der ESET Installation deaktivieren
- Den Server neu starten
- Jetzt ist ein Update der ESET-Version möglich und das ESET-Update lässt sich vornehmen
- Das System nochmals neu starten
- Anschließend HIPS wieder aktivieren – damit das aktiv ist, ist ein weiterer Neustart notwendig
- Neustarten des Servers
Diese Vorgehensweise scheint zu funktionieren, schreibt der Leser, er habe das eben mit einem System erfolgreich getestet. Laut Blog-Leser hat er von ESET erfahren, dass das Unternehmen aktuell eine Vielzahl an Rückmeldungen/Anfragen wegen dieses Verhaltens bekomme.
2015
Huch, bei der Angabe und Bezeichnung der ESET-Version hatte ich mich vertan:
Wie im Blogeintrag richtig beschrieben, handelt es sich um ESET Server Security. Und ebenfalls im Blog richtig beschrieben ist, dass die Server Security V9 noch Support hat. Da hatte ich mich verschaut
betrifft also nur die veraltete Version, die aktuelle (10.0.12014.0) verursacht hier keine Probleme…
sieht man mal wieder warum man seine Systeme aktuell halten sollte.
Gerade bei Security Lösungen versteh ich nicht wieso man da auf alten Versionen hockt.
Habe 2023-12 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5033373) gerade installiert, habe allerdings die Version 10.0.12014.0 von ESET Server Security drauf und keine Probleme damit.
ESET Server Security Version 10.0.12014.0 ist ja auch nicht betroffen, da das Zertifikat nur bei der genannten Version abgelaufen ist …
Vorallem ist die 9er Version ja wirklich schon alt…. tja so ist das. Wieso wird sowas auf Servern nicht aktuell gehalten?
Also wer so alten Versionen verwendet, darf sich nicht wundern. Aktuell ist 10.0.12014.0.
Ich frage mich, wieso die Windows Server auf Letzt-stand upgedatet werden wenn der Admin nur alte Software verwendet?
Ich fürchte, dein Kommentar und ähnliche Kommentare gehen am Problem schlicht vorbei … natürlich kann ich die Frage stellen, nur was nützt mir das, wenn der Fall der Fälle eingetreten ist? Kopfschütteln von meiner Seite …
naja es sind solche Systeme die letztendlich dazu führen das Firmen gehckt werden, weil Updates nicht eingespielt werden…
gerade Security Apps ist Schlamperei sträflich.
Aber heh nicht mein Systeme ;-P und der Blog wäre hier leer wenn Admins mal ihren Job ordentlich machen täten.
Na da kann man sich aber schon wundern, denn solange Versionen unter Support stehen kann man auch davon ausgehen, dass diese auch funktionieren sollten! Vor allem da anscheinend das letzte Release im Sept 2023 freigegeben wurde. Warum muss dann immer gleich upgraden auf neuere Versionen? Nur damit ich mir wieder einen neueren unbekannten Bug eintrete?
„ Und die eingebaute Update-Funktion, um ESET via zentralem Management (ESET PROTECT) auf eine neue Version zu heben, funktioniert auch nicht."
Dann müsste auch der Agent nicht richtig laufen, den mal als erstes aktualisieren.
Ggf. ein komplettes installationspaket im eset Protect erstellen, mit Remover und das manuell testen.
Ich würde immer relativ zeitnah auf die neusten Versionen aktualisieren, das ist nur ein Klick im eset protect und dann auch Monitoren.
Viel Glück.
Der Agent ist fein und funktioniert auch. Ursache, dass das ESET Update via ESET PROTECT nicht klappt, ist die gleiche, wie das eigentliche Problem: Die betroffene ESET Version kann mit dem neuen Zertifikat nix anfangen, das blockt auch ein ESET Update
"naja es sind solche Systeme die letztendlich dazu führen das Firmen gehckt werden, weil Updates nicht eingespielt werden…
gerade Security Apps ist Schlamperei sträflich."
Sorry aber wer sich hier im Detail nicht auskennt, der sollte sich vielleicht einfach mal etwas zügeln. Die Version 9 wird nach wie vor full supported. Es gibt gute Gründe die Version 9 einzusetzen auf die ich hier nicht näher eingehen möchte. Die Version 9.0.12017 war z.B. auch die letzte Version, welche keine Unterstützung von Azure Code Signing benötigt.
PS: Wir betreuen mehr als 1.000 Endpunkte mit ESET.
Ich habe gerade nochmal einige der Systeme bei unseren Kunden geprüft, welche die Version v9.0.12017 einsetzen (insgesamt sind das ca. 50 Server). Keines der Systeme scheint von dem Problem betroffen zu sein.
Gerade eben bekomme ich die Bestätigung von ESET auf meine Anfrage, dass die Version 9.0.12013.0 die letzte ist, welche von dem Problem betroffen ist.
Wie bereits geschrieben ist die v9.0.12017 die letzte Version welche keine Azure Code Signing Unterstützung seitens des OS benötigt.
PS: Bitte um Verständnis, dass ich aufgrund der Sicherheitsrelevanz der Details hier nicht mit Klarnamen schreibe.
ESET Mail Security for Microsoft Exchange Server, Version 9.0.100080 ebenfalls betroffen.