Microsoft 365 Defender: Bug löst falsch-positiven Log4j-Alarm aus

Nadine Dressler, 29.12.2021 17:45 Uhr 6 Kommentare
Microsoft untersucht derzeit ein Problem bei der Erkennung von Angriffen über die Log4j-Schwachstelle. Wie das Unternehmen eingestehen musste, hat der Microsoft 365 Defender-Scanner einen Bug, der zu vielen falsch-positiven Alarmen führt. Das meldet jetzt unter anderem das Online-Magazin Bleeping Computer. Microsoft rühmte sich dabei recht schnell nach dem Bekanntwerden der Log4j-Sicherheitslücke in Java, dass es mit dem Defender für Unternehmen eine einfache Lösung gäbe, die die Schwachstelle und Angriffe über Log4j erkennen könne und Warnungen verschickt. Nun stellt sich aber heraus: Der Microsoft Defender Log4j-Scanner löst dabei viel zu viele falsch-positive Alarme aus. Microsoft Defender for Endpoint zeigt dann Warnungen zu "Sensormanipulationen" an.

Nicht alle Systeme gleichermaßen betroffen

Die Warnungen werden, soweit bekannt, hauptsächlich auf Windows Server 2016-Systemen angezeigt und melden "mögliche Sensormanipulation im Speicher, die von Microsoft Defender für Endpoint erkannt wurde", die durch einen OpenHandleCollector.exe-Prozess verursacht wurde.

Obwohl das Verhalten dieses Defender-Prozesses als bösartig eingestuft wird, besteht kein Grund zur Sorge, da es sich um Fehlalarme handelt, erläuterte Tomer Teller, PM Manager bei Microsoft.

Verbesserung angekündigt

Microsoft untersucht derzeit dieses Microsoft 365 Defender-Problem und arbeitet an einem Fix, der nun schnellstmöglich für die betroffenen Systeme bereitstehen soll. Auch über die Feiertage hat das Sicherheitsteam demnach an dem Bug gearbeitet, um zeitnah eine Verbesserung zu veröffentlichen. "Dies ist ein Teil der Arbeit, die wir geleistet haben, um Log4j-Instanzen auf der Festplatte zu erkennen. Das Team analysiert, warum es die Warnung auslöst (was natürlich nicht der Fall sein sollte)", erklärte Teller.

Bedrohungsakteure nutzen die kritische Log4j-Schwachstelle, um auf Systeme weltweit zuzugreifen und dann Daten zu verschlüsseln und Daten zu stehlen. Unter anderem sind bereits Hackergruppen gesichtet worden, die die neue Schwachstelle vermehrt für die Verteilung von Schadcode wie dem berüchtigten Banking-Trojaner Dridex einsetzen.

Siehe auch:
6 Kommentare lesen & antworten
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies