News Sicherheits-Software: Microsoft Defender ATP schützt jetzt auch Linux

Holzfällerhemd

Lieutenant
Dabei seit
Mai 2018
Beiträge
771

t3chn0

Commodore
Dabei seit
Okt. 2003
Beiträge
5.050
Die MS Defender ATP ist derzeit so ziemlich die Beste Enterprise Security Lösung welche verfügbar ist. Gerade auch im Vergleich zu ehemaligen Vorreitern wie Cylance hat Microsoft hier extrem gute Arbeit geleistet.

Es kostet halt viel Geld, ist aber auch sehr gut.
 

DocWindows

Rear Admiral
Dabei seit
Mai 2013
Beiträge
5.636
Beispiel Linux-Desktop:

Ich erhalte eine Mail mit einem verseuchten Anhang, welcher mir nicht als verseucht auffällt. Dieser Anhang richtet mit großer Wahrscheinlichkeit auf meinem System keinen Schaden an, weil es sich um einen Virus für Windows handelt.

Wie verhält es sich mit meinem Mailarchiv? Will ich dort Windowsviren drin haben, nur weil sie meinem System nichts anhaben können?
Hallo. Das Jahr 2000 hat angerufen und will seine Angriffsvektoren zurück.

Niemand bei klarem Verstand verschickt heute noch Viren per Mail. Die Bedrohungen kommen von Fake E-Mails mit Fake Links, damit du dir die Schadsoftware selber runterladen kannst, oder durch Anhänge mit legitim erscheinenden Dokumenten, aber mit nicht ganz so legitimen Makrofunktionen.
Diese Arten von Angriffen (bis auf die Makronummer) sind betriebssystemunanhängig.

Und falls der Linux-Desktop unter Noobs irgendwann mal eine gewisse Relevanz erreichen sollte, kannst du davon ausgehen dass es auch dafür entsprechende maßgeschneiderte Angriffe geben wird.
 

pmkrefeld

Captain
Dabei seit
Feb. 2012
Beiträge
3.604
Wahrscheinlich schon. Noch segelt Linux auf Desktop unter dem RADAR von Böslingen die genug niedriger hängende Äpfel vorfinden die sie ernten können.
Du meinst also wir sollten ein Problem lösen dass es nicht gibt?
Ich glaube dass ein Desktop viel schneller überflüssig sein wird als sich Linux am Mainstream-Desktop durchsetzt.

Außerdem wäre es sinnvoll mal den Artikel zu lesen, und zwar den ersten Satz:

und schützt jetzt auch professionelle Betriebssysteme für Server auf Basis von Linux
MS versucht KEINE Desktops abzusichern sondern Server!

Zu sagen "Linux braucht keinen Virenscanner" ist zu kurz gedacht
Nö, kein System braucht einen Virenscanner.
Virenscanner brauchen Verantwortliche um aufzeigen zu können dass sie 'Maßnahmen' getroffen haben.

Ich erhalte eine Mail mit einem verseuchten Anhang
Dann hat deine ITSEC schonmal versagt. Haken dran.

Könnt ihr bei unqualifizierten Kommentaren nicht einfach mal die Backen halten?
Eine Recht harte Stellung, vor allem da deine Aussage genauso inhaltslos war.
 

Piktogramm

Vice Admiral
Dabei seit
Okt. 2008
Beiträge
6.503
Wie oft werden Zips an Mails angehangen, wie oft werden WP-Installationen gekapert und und und...?
Das Hauptproblem gekaperter WP Instanzen ist eigentlich, dass Wordpress von Vielen nach der Installation nicht mehr angefasst wird. In schlimmen Fällen werden die WP Instanzen noch mit Pluginschrott "aufgerüstet". Dagegen dann eine weitere Schutzschicht Schlangenöl einzuziehen ist ein typisches Antipattern. Das Problem gehört jedoch grundlegend angegangen. Was eben auch bedeutet, dass es Strategien geben muss, die Securityfixes nach spätestens 24h ausgerollt haben.


Das ist durchaus ein Punkt. Aber sag das mal der Telekom. Als ich dort mein ganzes E-Mail Postfach runtergeladen hab hat der Virenscanner x mal angeschlagen weil irgendein Mist im Anhang von Spam-Mails war die ich nie geöffnet aber auch nie gelöscht hatte. Das wurde da nicht rausgefiltert.
Ein grundlegendes Problem an der Stelle wäre, was hast du vertraglich mit der Tkom abgemacht? Prinzipiell soll ein Mailserver ja Nachrichten durchleiten und nicht weiter auswerten/scannen. Ein Virenscanner wäre bereits eine deutliche Erweiterung und impliziert vertraglich (Datenverarbeitung -> Datenschutz) allerhand. Zudem ein Virenscanner auch neue Probleme aufwirft. An der Stelle wo der Virenscanner Dateien anpackt, ist prinzipiell dieser Scanner ein mögliches Einfallstor für einen Angriff auf den ausführenden Server.


@Muffknutscher
Aber die Anzahl der Leute steigt, die Linux einfach mal eben installieren, mit Adminrechten um sich schmeißen und keine Lust haben was zu sichern... wenn diese Leute sich einen AV installieren, ist das nur Recht und billig.
Wenn Nutzer die ganze Zeit als root herumlaufen oder bei jedem Problem als erstes ein "sudo" einsetzen, bringt der AV-Scanner sehr wenig. Root darf alles[1], grundsätzlich also auch AV-Lösungen killen.

[1] Alles untzer Ring0 auf x86 CPUs wenn ich es richtig im Kopf habe, aber auf Ring0 würde auch keine AV-Software laufen.

Niemand lässt seine Enterprise-Server, ganz gleich ob mit Windows oder Linux, ohne Viren- und Manipulationsschutz laufen.
* sollte laufen lassen

Die Realität schaut da auch sehr übel aus...
Wobei Monitoring auf jeden Fall angebracht ist, AV-Software aber nicht unbedingt. AV-Software ist immer auch ein Angriffsvektor. Es gibt Konstellationen, da macht eine solche Software keinen Sinn oder sollte zumindest sehr gut vom Hauptsystem entkoppelt werden.

Unter Gnome3 z.b. kann ich mit normalen Benutzerrechten eine Applikation dem Autostart hinzufügen.
Ansonsten würde ich vermuten, dass a) Supply-Chain-Angriffe (d.h. Repos, Browser/Gnome Extensions etc.) jedweder Art und b) Browser (sandbox escapes z.B.) die größten Einfallstore sind. Zusätzlich ggf. c) Malicous CLI Kommandos getarnt als "Hilfe bei X".
Lohnt sich nur halt offenbar finanziell überhaupt nicht, da Ressourcen rein zu stecken.
Autostart ging auch über die .bashrc des Nutzers, das ist jedoch vergleichsweise unspektakulär. Denn alles was da ausgeführt wird läuft mit Nutzerrechten. Das taugt allein nicht zur "priviledge escalation". Es benötigt einen weiteren Bug und/oder Nutzerinteraktion (den Goldstandard wie man Nutzer davon abhält sich das eigene Bein weg zu schießen suchen alle Admins dieser Welt!). Das ist aber genau gleich wie unter Windows, da kann Nutzer sich ja auch fröhlich Autostarts mit Nutzerrechten anlegen.

Supply-Chain ist der feuchte Traum überhaupt und kommt immer wieder vor. Mit der Manipulation einzelner Pakete für npm (javascript), pip (python), apt (Debian, Ubuntu + Familien), flatpak, docker, ... ist man von jetzt auf dann auf tausenden Servern etabliert.
Beispiel:
https://nakedsecurity.sophos.com/20...m-package-taken-down-after-microsoft-warning/

Sandboxes in Browsern, bei den Hackingwettbewerben zum Thema und BugBounties sind entsprechende Angriffe mittlerweile gut bezahlt und das Niveau wirklich sehr hoch. Gleichzeitig sind die Preise auf dem Schwarzmarkt verhältnismäßig klein, da die Exploits oft nicht lange Bestand haben.
Die Writeups zu den letzten Pown2Own Veranstaltungen waren entsprechend gehaltvoll.

Das "Nutzer führt schädliche Dinge auf seiner Kiste aus" ist nicht neu. Da gab es für Windows und Linux schon Geschichten, dass Terminalbefehle auf Seiten standen und im Hintergrund Javascript lauerte, welches versuchte die Zwischenablage des Nutzers bei einem "copy" mit anderem Inhalt befüllte.


Ich denke eher nicht, dass irgendeine Linux-Distribution eine Konkurrenz für ein Microsoft-Betriebssystem ist. ;)
:D guter Witz! Nachdem WindowsServer Federn lassen musste, Windows Mobile von Android verdrängt wurde und Ms vor abwandernden Entwicklern derart Schiss hat, dass sie dieses WSL-Geraffel gestartet haben.
 

BeBur

Lt. Commander
Dabei seit
Nov. 2018
Beiträge
1.566
Autostart ging auch über die .bashrc des Nutzers, das ist jedoch vergleichsweise unspektakulär. Denn alles was da ausgeführt wird läuft mit Nutzerrechten. Das taugt allein nicht zur "priviledge escalation". Es benötigt einen weiteren Bug und/oder Nutzerinteraktion (den Goldstandard wie man Nutzer davon abhält sich das eigene Bein weg zu schießen suchen alle Admins dieser Welt!). Das ist aber genau gleich wie unter Windows, da kann Nutzer sich ja auch fröhlich Autostarts mit Nutzerrechten anlegen.
Will ich auf einem Desktop-PC denn unbedingt Root Rechte? Als Nutzer habe ich Zugriff auf nahezu alles, was der Nutzer sieht und macht und kann die gesamten Hardware-Ressourcen nutzen wie es mir beliebt.
so spontan aus der hüfte geschossen: Kann ich nicht einfach ein malicous alias/funktion für sudo einrichten? PS.: Spontanes googlen ergibt diverse Möglichkeiten: Link
Ja.. sudo böse kann man sagen.. aber wie viel % der Linux Desktop Nutzer nutzen wohl kein sudo?

Das "Nutzer führt schädliche Dinge auf seiner Kiste aus" ist nicht neu. Da gab es für Windows und Linux schon Geschichten, dass Terminalbefehle auf Seiten standen und im Hintergrund Javascript lauerte, welches versuchte die Zwischenablage des Nutzers bei einem "copy" mit anderem Inhalt befüllte.
Auf jeden Fall. Allerdings gibt es auf Linux eher ein "kopier dir das hier mal und gib das im Terminal ein: sudo ..." Kultur als unter Windows, wo man eher Software runter lädt. Auch nicht unbedingt besser.. eben verschiedene Vektoren.

Sandboxes in Browsern, bei den Hackingwettbewerben zum Thema und BugBounties sind entsprechende Angriffe mittlerweile gut bezahlt und das Niveau wirklich sehr hoch. Gleichzeitig sind die Preise auf dem Schwarzmarkt verhältnismäßig klein, da die Exploits oft nicht lange Bestand haben.
Die Writeups zu den letzten Pown2Own Veranstaltungen waren entsprechend gehaltvoll.
Stimmt. Ich hatte da an State-Actors, speziell China gedacht.
 

Piktogramm

Vice Admiral
Dabei seit
Okt. 2008
Beiträge
6.503
Hallo. Das Jahr 2000 hat angerufen und will seine Angriffsvektoren zurück.
Niemand bei klarem Verstand verschickt heute noch Viren per Mail. [...]
Realitätsabgleich von der "Wegmachtruppe". Verseuchte Anhänge ob nun mit Office Makros, ausführbare Dateien, versuchte PDFs etc. pp. sind derart häufig, dass die Suche nach diesen Angriffsvektoren der am besten automatisierte Teil der Fehleranalyse ist.
 

Fried.Ice

Cadet 4th Year
Dabei seit
Apr. 2012
Beiträge
108
@SV3N: Wiederholter Typo im Artikeltext: "thread" -> "threat".
Es geht schliesslich um Gefahren und nicht Parallelisierung ;)
 

Piktogramm

Vice Admiral
Dabei seit
Okt. 2008
Beiträge
6.503
@BeBur
Wenn alles was der Angreifer will durch den Nutzer bzw. seine Rechte zugänglich sind stimmt das. In Firmen wo einzelne Nutzer meist nie alles sehen können, will man aber tendenziell mehr. Die Rechteeskalation für das Netzwerk ist als Root auf dem Desktop schon eine Ecke leichter (schon allein weil root Ports >1024 aufmachen darf und so div. rouge Services ins Netzwerk einbringen kann). Genauso wie sich als Root andere Nutzer auf dem Rechner erarbeiten und zentrale Komponenten bearbeiten kann. Gerade die Manipulation verspricht ja, dass man Passwörter vom Loginscreen mitschneiden kann oder gar bei SSH-Logins vom Admin (es gibt genügeng die keine Keys und auch kein ChallengeResponse nutzen).

Die Windowskultur ist halt nicht "kopiere Befehl" sondern "installier dir das mal" wobei gerade in der Adminwerlt von Windows auch viel Copy&Paste von nicht verstandenen powershell scripten stattfindet.

Gegen das Niveau von "State Actor" wird es sowieso schwer wenn die es ernst meinen. Das geht schon etwas in Richtung Ressourcenschlacht.
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.936
Nö, kein System braucht einen Virenscanner.
Virenscanner brauchen Verantwortliche um aufzeigen zu können dass sie 'Maßnahmen' getroffen haben.
Da bin ich gern bei dir. Es schaltet aber niemand den Kopf ein. Es geht auch nicht nur um Personalchefin Gertrude Schnellfinger, die nicht wieder "Bewerbung.docx" öffnet und dann noch ganz brav Makros trotz mehrfachen Warnungen aktiviert. Es ist ja auch nicht nur Ransomware, sondern gern auch mal richtige Rootkits bspw. für Spionage und Sabotage. Wie war das mit dem Iran und dem Atomkraftwerk? Ein Virenscanner hätte da wenigstens drauf hinweisen können, was im Nachhinein dann auch passiert ist. Es ist lediglich ein Indikator und speziell bei großen Verteilerpunkten wie Mailservern, sollte man für den ganzen Schmutz halt nicht noch als Verstärker dienen.

Speziell koordinierte Angriffe bekommen dabei allerdings weder Virenscanner, noch Menschen (vielleicht nach Jahren) mit.
Eine Recht harte Stellung, vor allem da deine Aussage genauso inhaltslos war.
Wenn die Moderation gern Offtopic von den immer gleichen Personen in den immer den gleichen Themen toleriert, kann man irgendwann auch mal seinen Unmut äußern. Was hat sein Post mit dem Thema zu tun, außer dass er mit seinem riesigen Mitteilungsbedürfnis doch wieder rausposaunen muss, wie schlecht doch MS und wie seine Haltung gegenüber dieser Firma ist und wie doch dieses Thema überhaupt keine Relevanz für Endanwender besitzt (was übrigens auch in der News als dicke fette Zwischenüberschrift steht). Wie in jedem anderen Thread, wo es auch nur entfernt um MS geht? Welche Relevanz zum Thema besitzt das? News im Ticker gelesen, in die Kommentare gegangen, obligatorischen Post abgesetzt, Checkliste für heute abgearbeitet?
Code:
🗹 in aller Öffentlichkeit einen inhaltslosen Bash-Kommentar zu Microsoft posten
Gibts da ein Tool in den Linux Repos, was dafür Achievements freischaltet?
Dagegen dann eine weitere Schutzschicht Schlangenöl einzuziehen ist ein typisches Antipattern. Das Problem gehört jedoch grundlegend angegangen. Was eben auch bedeutet, dass es Strategien geben muss, die Securityfixes nach spätestens 24h ausgerollt haben.
Sag das doch dem Hoster, der seine Infrastruktur sauber halten will. Der kann nur einen Virenscanner laufen lassen, die Kunden drauf hinweisen und die Schadsoftware irgendwo in Quarantäne schieben oder das Angebot deaktivieren, sodass sie wenigstens nicht mehr öffentlich zugänglich ist. Über automatische Updates müssen wir denke ich nicht reden, dafür sind alle in der Kette zu doof. Entweder der Hersteller der Basis, der halt auch mal Mist bauen kann oder irgendwas nicht bedacht hat oder halt einer der vielen Plugin-Hersteller, bei denen das Gleiche zutrifft.

Vielleicht ist auch einfach das Problem, dass Hosting zu günstig ist oder die Konsequenzen einfach zu niedrig gesteckt werden, sodass jeder Hans Poprich seine eigene Seite in globaler, öffentlicher Infrastruktur hochziehen kann, welche irgendwann definitiv Einfallstor für verschiedene Schädlinge ist und ggf. noch zur Verstärkung dienen kann bspw. bei DNS Amplification. Man muss halt updaten. Aber erklär das doch mal den einzelnen Usern...
 

Holzfällerhemd

Lieutenant
Dabei seit
Mai 2018
Beiträge
771
:D guter Witz! Nachdem WindowsServer Federn lassen musste, Windows Mobile von Android verdrängt wurde und Ms vor abwandernden Entwicklern derart Schiss hat, dass sie dieses WSL-Geraffel gestartet haben.
Dito guter Witz.
Server ist auch eher im geringen Prozentbereich, Windows Phone/Mobile kam einfach zu spät, da gab es schon Android. Sprich, Android hat WM nicht verdrängt. Das alte Windows Mobile kannst du nicht dazu zählen, da eine völlig andere Zeit und ein anderes Ziel.
Und im Desktop braucht sich MS noch lange keine Sorgen zu machen. ;)
 

cc0dykid

Lt. Junior Grade
Dabei seit
Nov. 2013
Beiträge
501
In den Kommentaren mal wieder diese IT-Sec Profis, die laut in die Welt hinein schreien, dass man für Betriebssystem XY keinen Anti-Virus oder Thread Protection braucht. Die Argumente sind immer gleich:
"Wenn man aufpasst, dann passiert nichts."
"Wenn was passiert, dann hat deine IT-Abteilung versagt" (hat so ein pmkrefeld Typ gesagt)

Die würden dann auch argumentieren, dass Autos keine Airbags brauchen, weil wenn man vorsichtig fährt, dann kann gar kein Unfall passieren und wenn doch, ja dann hat der Fahrer versagt. ¯\(ツ)

Ein Begriff was solche Leute nicht kennen ist Schadensbegrenzung.
Wer würde ein Angriff oder ein Virus schneller erkennen und schneller darauf reagieren?
Ein IT-Sec Mensch, der nur eine 8 Stunden Schicht hat oder ein Programm, dass 24/7 läuft?
Hmm, um diese Frage zu beantworten braucht man dann schon einbisschen mehr als nur zwei Hirnzellen.

Und das letzte Ding ist: Was spricht denn gegen ein Anti-Viren/Anti-Thread Programm, wenn es nur da ist, um zu helfen? Letztendlich hat man dann mehr Sicherheit als ohne. Wie viel mehr Sicherheit, darüber lässt sich streiten. Aber dann warum nicht?
 

Piktogramm

Vice Admiral
Dabei seit
Okt. 2008
Beiträge
6.503
Sag das doch dem Hoster, der seine Infrastruktur sauber halten will. Der kann nur einen Virenscanner laufen lassen, die Kunden drauf hinweisen und die Schadsoftware irgendwo in Quarantäne schieben oder das Angebot deaktivieren, sodass sie wenigstens nicht mehr öffentlich zugänglich ist.
AV braucht Rechenzeit und I/O und ist damit ein Kostenfaktor. Zudem ein AV welches einzelne Dateien oder ganze Instanzen abschießt weil es einen Fund gab, ganz fix die Kunden auf die Palme bringt. Typisch wird da eher sein Monitoring auf dem Traffic laufen zu lassen und auf "abuse"-Nachrichten zu warten.
 

Capet

Ensign
Dabei seit
Feb. 2005
Beiträge
223
Hallo. Das Jahr 2000 hat angerufen und will seine Angriffsvektoren zurück.

Niemand bei klarem Verstand verschickt heute noch Viren per Mail. Die Bedrohungen kommen von Fake E-Mails mit Fake Links, damit du dir die Schadsoftware selber runterladen kannst, oder durch Anhänge mit legitim erscheinenden Dokumenten, aber mit nicht ganz so legitimen Makrofunktionen.
Diese Arten von Angriffen (bis auf die Makronummer) sind betriebssystemunanhängig.

Und falls der Linux-Desktop unter Noobs irgendwann mal eine gewisse Relevanz erreichen sollte, kannst du davon ausgehen dass es auch dafür entsprechende maßgeschneiderte Angriffe geben wird.
Mit dieser Expertise sind Viren in Mails natürlich völlig ausgeschlossen. Jetzt kann ich endlich ruhig schlafen und muss mir keine Sorgen machen.
 

He4db4nger

Captain
Dabei seit
Feb. 2007
Beiträge
3.884
wollte damit eig. trendmicro im unternehmen hier ablösen, aber 1200€ zu 3000€ konnte ich dann nicht durchkriegen. schade.

und nur deswegen kommt eine linux oder android version, damit unternehmen die freie plattformwahl haben.
 

DocWindows

Rear Admiral
Dabei seit
Mai 2013
Beiträge
5.636
Realitätsabgleich von der "Wegmachtruppe". Verseuchte Anhänge ob nun mit Office Makros, ausführbare Dateien, versuchte PDFs etc. pp. sind derart häufig, dass die Suche nach diesen Angriffsvektoren der am besten automatisierte Teil der Fehleranalyse ist.
Hab ich doch geschrieben. Makros und natürlich PDFs mit aktivem Code sind häufig, aber eben keine klassischen Viren die sich direkt einnisten und anfangen zu arbeiten. Deshalb ist es so wichtig mehr als nur einen reinen Virenscanner zu haben, weil eben reine Viren nicht mehr verschickt werden. Die Infektion findet häufig erst durch nachgeladene Progrämmchen statt. Die Mail an sich ist meistens clean.

Wär ja auch schön blöd Viren zu schicken, da jeder Rechner mit einem Windows 10 (also zeitlich seit ungefähr 5 Jahren) standardmäßig einen recht guten Schutz dabei hat.
 
Zuletzt bearbeitet:

longusnickus

Ensign
Dabei seit
Dez. 2019
Beiträge
129
Hat es denn einen Sinn Virenschutz unter Linux zu installieren?
Ich denke wenn man schon drauf achtet nicht Hans und Franz root-Zugriff zu geben, sollte man schon ganz gut geschützt sein.
ich glaube, dass die größte gefahr für linux nutzer von wine ausgeht.
ich weiß nicht wie weit viren daraus ausbrechen können, aber dein home verzeichnis verschlüssen ist offenbar möglich
 

BeBur

Lt. Commander
Dabei seit
Nov. 2018
Beiträge
1.566
ich glaube, dass die größte gefahr für linux nutzer von wine ausgeht.
ich weiß nicht wie weit viren daraus ausbrechen können, aber dein home verzeichnis verschlüssen ist offenbar möglich
Das war hier im Thread grad mal kurz Thema. Kurzum: Sobald du sudo verwendest ist eine privilege-escalation zum root quasi trivial. Wobei bei einem Home-Nutzer ggf. eine solche escalation überhaupt nicht notwendig ist in Bezug auf die Ziele eines Angreifers.

In professionellen Umgebungen sieht das natürlich anders aus, aber da ist wine auch sicherlich eher seltener anzutreffen würde ich vermuten (von daher gehe ich davon aus, dass der scope gerade der Privatnutzer ist).
 
Top