Microsoft Defender Exploit

/root · 9. Mai 2017

https://www.heise.de/security/meldu...Software-von-Windows-geschlossen-3706615.html

Also zügig Defender updaten oder gleich durch 3rd Party ersetzen

Exploit Code ist auch schon verfügbar: https://www.exploit-db.com/exploits/41975/

LG

Asghan · 9. Mai 2017

3rd party ist keine gute Idee, einfach mal das lesen: https://blog.fefe.de/?ts=a7ef984e

Microsoft hat einen Bug im Antivirus. Genau was ich seit Tagen auf der Heise Show als Szenario an die Wand gemalt habe. Und weil es eben Microsoft und kein gammeliger Schlangenöl-Hersteller ist, gibt es da jetzt keine Nebelbank sondern das wird als das bezeichnet, was ist es: Critical, Remote Code Execution, Wormable.

So und jetzt kann sich ja jeder nochmal selber überlegen, wie wahrscheinlich das ist, dass Microsoft mit ihren Milliarden an Ressourcen, mit ihren fünfstellig vielen Security-Experten, mit ihren monatelangen Testzykeln, dass DIE das nicht hinkriegen, aber die anderen kriegen es hin. Ja nee, klar.

Und ich sehe das so wie Sascha.

wirelessy · 9. Mai 2017

Welcher Sascha?

Aber ja, patchen sollte man tunlichst.

Asghan · 9. Mai 2017

wie Fefe, aka Sascha Lobo

Madman1209 · 9. Mai 2017

Hi,

wie Fefe, aka Sascha Lobo

sorry fürs OT, aber FeFe ist FeFe und Sascha Lobo ist Sascha Lobo... das sind zwei Personen! Sollte man als FeFe Leser eigentlich wissen...

@Topic

hätte man besser an die Redaktion geschickt, für einen Thread finde ich das reichlich zu wenig!

VG,
Mad

Kyze · 9. Mai 2017

OT: Fefe ist Sascha Lobo ? Das ist doch Felix von Leitner.

Asghan · 9. Mai 2017

stimmt, man verzeihe mir meine geistige Umnachtung, hier ist schon mitten in der Nacht

/root · 9. Mai 2017

Asghan schrieb:
3rd party ist keine gute Idee, einfach mal das lesen: https://blog.fefe.de/?ts=a7ef984e

Und ich sehe das so wie Sascha.

bitte nicht zwei unterschiedliche Dinge miteinander vermischen.
1. Dieser Exploit wurde von Google entdeckt und nicht von Microsoft (also was für eine Nebelbank?)
2. Der Bug besteht NICHT in einem anderen AV sondern im Microsoft Defender

Sind andere AVs Bugfrei? Nein.
War man gegen diesen Bug geschützt indem man einen 3rd Party AV installiert hat? Ja.

Man mag es nicht glauben aber auch andere Hersteller haben Security-Experten und Testzyklen.
Ich bin trotzdem ein Verfechter von Defense in Depth (d.h. Sicherheitsprodukte von unterschiedlichen Herstellern kombinieren) und würde jedem empfehlen sich nicht nur auf die Security von Microsoft alleine zu verlassen.

Visceroid · 9. Mai 2017

Asghan schrieb:
3rd party ist keine gute Idee, einfach mal das lesen: https://blog.fefe.de/?ts=a7ef984e

Ich sehe das aber genau anders herum. Firmen wie F-Secure, Bitdefender und wie sie alle heißen sind spezialisiert auf Sicherheitsprodukte. MS macht das nur nebenher.

Was macht nun mehr Sinn? Einem Laien empfehle ich trotzdem eine 3rd Party Software die etwas mehr Feedback und Erkennung bringt als der Windows Defender. Bei erfahrenen Usern ist es quasi egal was sie nutzen.

Madman1209 · 9. Mai 2017

Hi,

MS macht das nur nebenher.

das ist mit Verlaub einfach unwahr. Erstens dürfte Microsoft das eigene OS besser kennen als jeder Dritthersteller und zweitens hat Microsoft eine ganze Horde an Sicherheitsexperten im Unternehmen, die nichts anderes tun, von morgens bis abends.

Um Fefe nochmal zu zitieren:

So und jetzt kann sich ja jeder nochmal selber überlegen, wie wahrscheinlich das ist, dass Microsoft mit ihren Milliarden an Ressourcen, mit ihren fünfstellig vielen Security-Experten, mit ihren monatelangen Testzykeln, dass DIE das nicht hinkriegen, aber die anderen kriegen es hin. Ja nee, klar.

VG,
Mad

LinuxNoob · 9. Mai 2017

Die schnelle Reaktion von Microsoft fand ich in diesem Fall doch recht anschaulich und auch mal erwähnenswert und kann mittlerweile auch nur mit einem gewissen Pessimismus an die Sache gehen. Denn was z.B. Fefe, Brian Krebs, Tavis Ormandy, Mike Kuketz etc. schreibt hat schon einen Sinn. Natürlich hat die AV-Branche kein Interesse daran, dass ihr Markt wegbricht, es geht ja schließlich ums Geld.

Aber es stimmt halt, wenn Microsoft mit viel Ressourcen eine solche Schwachstelle in seinem AV-Produkt hat, oder auch die angeblich niedrige Erkennungsrate im Gegensatz zu anderen Anbietern hat (laut diversen "unabhängigen" Tests...räusper...räusper), dann werden andere Anbieter mit weniger Ressourcen sicherlich nicht besser dastehen was die Qualität des Produktes angeht. Und ich durfte vor kurzem erst selbst erleben wie die angeblich 99,6+% Scanner abschnitten bei einem RL-Test mit diversen aktuellen Malware-Samples und Ransomware. Das war nicht mehr feierlich was da passierte und wirft erhebliche Fragen auf, wie die Scanner in Tests von AV-Test oder AV-Labs so gut abschneiden konnten.

Ich weiß, dass die Diskussion über Erkennungsraten oder welche AV-Scanner empfehlenswert ist etc. aktuell eine Gretchenfrage für viele ist und viele eine Differenzierte Meinung vertreten, davon profitieren die Anbieter, weil ihre Produkte a) entweder weiter gekauft werden, oder b) mit den kostenlosen Produkten weiterhin viele Daten abgreifen können. Aber die Problematiken mit AV-Software wird in letzter Zeit immer gravierender, sei es SSL-MITM, oder andere Schwachstellen. Man kann sich doch wirklich die Frage stellen, bringt ein AV-Scanner nicht mehr Probleme wie das er mir helfen könnte?

Ich für meinen Teil jedenfalls sehe ein AV-Scanner nicht als 1 Wahl bei der Sicherheit, sondern nur als unterstützendes Hilfsmittel und möchte kein SSL-Scan, kein Scan von Imap und Co, keine Pseudo-personal-Firewall und andere „Features“ die heute von Anbietern angepriesen werden. Aber wie geschrieben, ich werde mit der Einstellung und Meinung bei einigen anecken, aber jeder hat ja das Recht selbst zu entscheiden, wie er das Thema behandeln will.

Serana · 9. Mai 2017

/root schrieb:
Also zügig Defender updaten oder gleich durch 3rd Party ersetzen

Updaten so schnell es geht? Aber ja doch. Aber den Defender ersetzen. Und das sollte man genau warum tun?

Ich meine, es ist ja jetzt nicht so, daß die anderen Hersteller in Sachen Sicherheit so viel besser wären. Wenn man weit genug zurückgeht wird man bei jedem Hersteller Sicherheitslücken finden die eben gestopft werden mußten. Solange das zeitnah passiert (und in diesem Fall ist das definitiv der Fall) sehe ich keinen Grund einem Hersteller einen Strick daraus zu drehen.

Ohnehin gibt es in diesem Geschäft was Sicherheit angeht nur eine Konstante. Wenn mir jemand ein ABSOLUT sicheres System verkaufen will, weiß ich vor allem eines: Ich soll gerade über den Tisch gezogen werden.

Und ehrlich gesagt ist mir eine AV-Lösung vom Hersteller des genutzten Betriebssystems allemal lieber, als die ganzen Lösungen der anderen Anbieter die mir womöglich noch eine gepflegte MITM-Attacke als ein plus an Sicherheit verkaufen wollen.

wirelessy · 9. Mai 2017

McAfee hatte da letztens schöne RCE in deren Management Agent (nichtmal der AV selbst!). Die haben Logs des AV per lokalem Webserver ins Netz gehangen, und genau dieser Webserver (der dich per default unauthenticated drauflässt!) hatte diese RCE Lücke.

Oh, oder RCE über deren AV Managementserver. Was ist denn schöner, als die komplette Organisation übers AV Management zu pwnen

. Single point of contact, meine Freunde!
Die sind alle scheiße. Da nehm ich lieber Microsofts Scheiße, die ist immerhin lightweight.

AdoK · 9. Mai 2017

Siehe News auf der Hauptseite unter Windows Defender: Schwerwiegende Sicherheitslücke geschlossen

Suche

Microsoft Defender Exploit

/root

Lt. Commander

Asghan

Der Ranglose

wirelessy

Captain

Asghan

Der Ranglose

Madman1209

Fleet Admiral

Kyze

Commander

Asghan

Der Ranglose

/root

Lt. Commander

Visceroid

Rear Admiral

Madman1209

Fleet Admiral

LinuxNoob

Gast

Serana

Commander

wirelessy

Captain

AdoK

Gast

Ähnliche Themen