News Sicherheits-Software: Microsoft Defender ATP schützt jetzt auch Linux

t3chn0

Commodore
Dabei seit
Okt. 2003
Beiträge
5.050
@Görde

Absolut richtig. Ohne solch eine Lösung sieht man Compliance-Technisch sehr schlecht aus. Wenn man so in ein Audit geht, ohne valide Security Lösung hat man für Wochen und Monate sehr viel Spaß.

Eigentlich kann man als CIO direkt seine Koffer packen.
Ergänzung ()

@Fred_VIE Viel Spaß, dann stell mal einen Konzern mit > 10.000 Mitarbeitern auf Linux um und erkläre das auch gleichzeitig Microsoft zum Thema Lizenzmanagement und natürlich auch Deinen Kunden und Stakeholdern, have fun.
 

Piktogramm

Vice Admiral
Dabei seit
Okt. 2008
Beiträge
6.503
@DocWindows Aber Makros und PDFs aus deren Kontext Code ausgeführt wird ist das klassischste aller Einfallstore von Viren, zumindest seit dem jeder halwegs vernünftige Mailserver Anhänge bouncen lässt die auf .exe enden. Was deine Definition von "reine Viren" ist verstehe ich nicht, ich glaube du machst da eine feingranulare Unterscheidung die nicht branchenüblich ist.
 

sevensins7

Cadet 4th Year
Dabei seit
Juni 2020
Beiträge
89
1. ist ATP fuer Enterprise

2. Wie soll unter Endanwender Linux ein Schadcode ausgefuehrt werden wenn man doppelt gesichert ist:
1. User mit PW
2. Root mit PW

Sicher wenn viele Nutzer wie unter Windows einfach immer auf JA klicken :lol:
 

Hayda Ministral

Rear Admiral
Dabei seit
Nov. 2017
Beiträge
5.330
Sehe ich das richtig, das MS zum ersten Mal offiziell Debian als Zielplattform unterstützt?
 

BeBur

Lt. Commander
Dabei seit
Nov. 2018
Beiträge
1.566
2. Wie soll unter Endanwender Linux ein Schadcode ausgefuehrt werden wenn man doppelt gesichert ist:
1. User mit PW
2. Root mit PW
Zu 2.1.: Du hast ja bereits eine laufende Session mit deinem Nutzer, von daher kann der schadcode alles machen, was du als User auch machen kannst, z.B. das unter 2.2.
Zu 2.2: Siehe hier, zum Beispiel einfach Alias auf sudo. Wie viel % der Linux-Endanwender benutzen kein sudo? Die wenigsten, würde ich sagen. Mit bisschen mehr Aufwand kannst du das Alias auch so bauen, dass sudo danach erfolgreich ausgeführt wird und der alias danach entfernt wird (und das PW natürlich für privilege-escalation benutzt wird).
Ich würde sagen, was das angeht ist der übliche Umgang bei Windows sicherer.
 

sevensins7

Cadet 4th Year
Dabei seit
Juni 2020
Beiträge
89
Wie soll ein Schadcode der auf dem PC waere Sudo ausfuehren ohne Passwort ?
Von Root ganz zu schweigen was nochmal ein anderes Passwort ist.

Ja ich nutze eine Tastatur mit US Layout
 

BeBur

Lt. Commander
Dabei seit
Nov. 2018
Beiträge
1.566
Wie soll ein Schadcode der auf dem PC waere Sudo ausfuehren ohne Passwort ?
Lies doch mal den verlinkten Beitrag. Woher weißt du, dass der Befehl sudo genau die binary ausführt und nicht einen gesetzten alias? Oder eine andere sudo binary? Beides kannst du bzw. der Virus ganz normal mit Nutzerrechten einstellen.
Sobald du selber sudo ab und zu verwendest ist eine privilege-escalation im Prinzip trivial.

Ich kann US-international sehr empfehlen.
 

sevensins7

Cadet 4th Year
Dabei seit
Juni 2020
Beiträge
89
Kann da nicht so nahe darauf eingehen dafuer fehlt mir die Expertise, ich hab erst von 2 Monaten auf Linux umgestellt, war vorher Windows aber durch Corona und die Kuendigung hatte ich zeit und beschlossen nur noch Linux und BSD zu verwenden
 

Serana

Lt. Commander
Dabei seit
Okt. 2016
Beiträge
1.603
Wie soll ein Schadcode der auf dem PC waere Sudo ausfuehren ohne Passwort ?
Von Root ganz zu schweigen was nochmal ein anderes Passwort ist.
Nehmen wir folgendes Szenario an:
1. Ein Angreifer schafft es Schadsoftware im Benutzerverzeichnis unterzubringen. Diese sorgt zunächst einmal dafür, daß ein falsches "sudo" so platziert wird, daß wenn einfach nur das Kommando ohne weitere Pfadangabe eingegeben wird nicht das echte sondern das böse sudo ausgeführt wird. Das funktioniert übrigens problemlos mit deinen normalen Userrechten.
2. Du rufst das sudo-Kommando auf und gibst brav dein Passwort ein. Das falsche sudo übergibt das Passwort an die eigentliche Schadsoftware gibt noch eine Fehlermeldung aus das das Passwort falsch sei und löscht sich selbst. Damit kommt wieder das richtige sudo zum Einsatz. Du schöpfst keinen Verdacht weil es ja durchaus mal vorkommen kann, daß man sein Passwort einmal falsch eingibt. Schließlich klappt es ja bei der Wiederholung.
3. Die Schadsoftware kann jetzt ihrerseits sudo aufrufen und hat dein Passwort. Damit kann sie nun jede Menge Blödsinn anstellen.

Das ist übrigens nur EIN denkbarer Angriffsvektor. Es sind durchaus noch andere möglich.

Die Tatsache, daß es bis jetzt anscheinend noch keinen derartigen Angriff gab bedeutet nicht, daß er nicht möglich wäre. Sobald eine genügend große Anzahl an Menschen Linux einsetzt wird es mit Sicherheit Angriffe geben. Das schöne dabei ist, daß sehr viele (wahrscheinlich sogar die meisten) Nutzer an das Märchen von der inhärenten Sicherheit von Linux glauben. Das wird es eventuellen Angreifern zumindest am Anfang leicht machen. Jede (Sicherheits-)Kette ist eben nur so stark wie ihr schwächstes Glied, und das ist in den meisten Fällen nun einmal der Nutzer.
 

Holt

Fleet Admiral
Dabei seit
Mai 2010
Beiträge
58.317
Ich persönlich halte ja von einem Antivir auf Linux, ob nun Desktop oder Server relativ wenig. Wenn man einen Fileserver auf Linuxbasis hat, kann man evtl. drüber nachdenken
Wenn auf dem Fileserver auf Linuxbasis dann Dateien von Windows Client liegen, müsste der Virenfiler natürlich auch nach Windows Viren suchen, keine Ahnung ob dies das machen. Andererseits sollte sowohl der Windows Rechner der die Datei dort abgelegt hat als auch der der sie lädt, selbst einen Virenfinder haben und die Bedrohung also selbst erkenne, womit der User es dann auch gleich erfährt. Ein unzuverlässiger Virenfinder auf dem Fileserver der bei einem falschen Alarm die Datei entfernt, wäre dagegen im Vergleich dazu für die User sehr intransparent.
Beispiel Linux-Desktop:

Ich erhalte eine Mail mit einem verseuchten Anhang, welcher mir nicht als verseucht auffällt. Dieser Anhang richtet mit großer Wahrscheinlichkeit auf meinem System keinen Schaden an, weil es sich um einen Virus für Windows handelt.
Demnach macht er dies ja nicht, oder hat einfach eine zu schlechte Erkennungsraten.
ClamAV in allen Ehren und danke für die Arbeit der Entwickler, aber es gibt genug Testergebnisse, die zeigen, dass darauf kein Verlass ist. Die Erkennungsquote ist mist, was aber auch für einige kommerzielle Lösungen gilt.
Sollte ClamAV denn unter Linux auch die Windows Viren erkennt? Gibt es sonst eine kostenlose Lösung?
Server ist auch eher im geringen Prozentbereich
Hiernach hat Windiws 72,8% Marktanteil bei Servern und Linux 13,2%, da fragt man sich fast ob sich das für Microsoft überhaupt lohnt. Aber ohne zu wissen woher die Daten kommen und was für Server dabei betrachtet wurden, kann man mit solchen Zahlen sowieso wenig anfangen. Wäre die ganze kleinen Consumer und SOHO NAS (das sind als Fileserver ja auch Server) enthalten, die ja auch praktisch alle auf einem Linux basieren, dürften es jedenfalls von Stückzahlen her wohl mehr als 13,2% für Linux.
 

Hayda Ministral

Rear Admiral
Dabei seit
Nov. 2017
Beiträge
5.330
...und an der Stelle frage ich mich, wie ich meinen Fido-Stick mit sudo bekannt mache...
 

Serana

Lt. Commander
Dabei seit
Okt. 2016
Beiträge
1.603
da fragt man sich fast ob sich das für Microsoft überhaupt lohnt.
Ich glaube, daß Microsoft hier auf gemischte Umgebungen abzielt. Wenn im Unternehmen ohnehin schon MS Defender ATP zum Einsatz kommt ist es nur logisch diese Lösung auch auf den Linux Maschinen einzusetzen.

Von einem Einsatz in den ganzen Consumer und SOHO-Umgebungen gehe ich jedenfalls nicht aus. Zwar sind Linux-Viren keine Unmöglichkeit, aber die Verbreitung von Linux auf dem Desktop dürfte derzeit noch zu gering sein um als Zielplattform wirklich interessant zu sein. Sollte sich das ändern könnte ich mir aber durchaus vorstellen, daß Microsoft den Defender auch für Linux herausbringt. Damit wie es geht sammelt man ja jetzt in Redmond Erfahrung.

@Endless Storm
Bis jetzt ist doch noch nicht einmal klar ob es sich überhaupt um ein in der Form intendiertes Verhalten handelt. Derzeit ist nur bekannt, daß es in manchen Fällen dazu kommt. Wie dieses ausgelöst wird weiß anscheinend noch niemand. Trotzdem ist sofort der Reflex "böses Microsoft" da. Da derartige Mechanismen im Normalfall nicht per Zufallsgenerator zum Einsatz kommen, wäre es doch interessant überhaupt erst einmal zu erfahren wie diese unerwünschte Übernahme überhaupt ausgelöst wird. Wenn sich am Ende herausstellt, daß es sich NICHT um einen Bug handelt kann man sich immer noch aufregen.
 

Autokiller677

Vice Admiral
Dabei seit
Jan. 2009
Beiträge
7.066
Sicher wenn viele Nutzer wie unter Windows einfach immer auf JA klicken :lol:
Wenn die IT dem normalen Nutzer unter Windows einfach Adminrechte gibt, ist eh schon einiges schief gelaufen. Als normaler User in einer administrierten Linux-Umgebung hab ich ja auch kein sudo.

Aber letztlich können Viren / Ransomware auch im User-Kontext schon viel Schaden anrichten. Von meinem Arbeits-PC aus könnten damit alle Projektlaufwerke, an denen ich arbeite, gelesen, gelöscht oder verschlüsselt werden. Und ab Ebene Abteilungsleiter haben die Zugriff auf alles. Aber keine Admin-Rechte.

Für richtig dicken Schaden in einer Firma brauchts keine Admin-Rechte.
 

DaZpoon

Commander
Dabei seit
Dez. 2009
Beiträge
2.356
Oh weh der Tellerrand ist hoch wie nie.

Das ganze schützt nicht nur FileServer. Heutzutage kann jeder auf irgend einem Server einen Microservice platzieren. Der Server hat keine Ahnung was der Service macht. Aber gerade die Linux Welt ist garnicht so sicher wie oftmals gedacht. Schließlich sind per Default diverse Script-Engines installiert und so kann jeder Microservice durch diverse Lecks zu einem Bot mutieren. Denn wer hält diese Container bzw. deren Images schon wirklich regelmäßig aktuell bzw. kann jeder dieser Services noch lückenhaft sein.
 
Zuletzt bearbeitet:

Sun_set_1

Captain
Dabei seit
Sep. 2008
Beiträge
3.372
Sehe ich das richtig, das MS zum ersten Mal offiziell Debian als Zielplattform unterstützt?
Jein. Sie machen es halt munter dort, wo es ihnen grad gefällt. Ich meine aber, dass die auch schon was auf Git posten. Gab irgendwo mal nen Link wer wieviel Input zur Kernel-Entwicklung jedes Jahr beisteuert. Da sind Microsoft und sogar auch Apple weiter vorne als man annehmen würde.

Z.b. haben'se doch auch voll funktionsfähige Treiber für den XBox Transciever veröffentlicht und zum Kernel beigesteuert, wenn ich das richtig auf dem Schirm habe.

Kannst unter Linux mittlerweile bis 4 Xbox Controller gleichzeitig pairen ohne irgendwelche Zusatztools, ohne Probleme.

With the addition of these three people, Microsoft now employs 12 Linux kernel contributors. As for what these engineers are doing, Linux kernel maintainer Greg Kroah-Hartman says, “Microsoft now has developers contributing to various core areas of the kernel (memory management, core data structures, networking infrastructure), the CIFS filesystem, and of course many contributions to make Linux work better on its Hyper-V systems.”

Office auf der anderen Seite fehlt seit Jahren. Da programmieren sie lieber grad mal schnell die komplette Suite für MacOS (ARM) um.

Stringent sind die in ihrem Umgang mit Linux allgemein daher (noch) nicht wirklich.
 
Zuletzt bearbeitet:

MountWalker

Fleet Admiral
Dabei seit
Juni 2004
Beiträge
12.865
[...] Wie war das mit dem Iran und dem Atomkraftwerk? Ein Virenscanner hätte da wenigstens drauf hinweisen können, was im Nachhinein dann auch passiert ist.[...]
Nein, gerade das hätte er nicht, weil der Virus von der Kaspersky Verhaltenserkennung erst Jahre nach der erfolgreichen Zielinfektion entdeckt wurde. In dieser Zeit hätte eine geheime Sabotage-Aktion der USA gegen das iranische Atomprogramm in Kombination mit dem Nichtwissen der Atom-Techniker vor Ort, warum der Reaktor da plötzlich runterfährt oder was auch immer macht, schon zig mal versehentlich einen GAU auslösen können. Ja, Jahre später hat dann irgendwann die Kaspersky Verhaltenserkennung auf einem weit entfernten System, das nichtg Zielplattform war, einen Verdacht geschöpft und nach viel Untersuchungsarbeit des Verdachts wurde dann irgendwann der Schädling erkannt. Wäre das den Einsatz eines vollständigen Virenwächterdienstes mit Kernelrechten wert gewesen? Nur wenn man, wie alle Kunden von Wächterlösungen, den Schaden durch False Positives ignoriert.

Nehmen wir folgendes Szenario an:
1. Ein Angreifer schafft es Schadsoftware im Benutzerverzeichnis unterzubringen. Diese sorgt zunächst einmal dafür, daß ein falsches "sudo" so platziert wird, daß wenn einfach nur das Kommando ohne weitere Pfadangabe eingegeben wird nicht das echte sondern das böse sudo ausgeführt wird. Das funktioniert übrigens problemlos mit deinen normalen Userrechten.
2. Du rufst das sudo-Kommando auf und gibst brav dein Passwort ein. Das falsche sudo übergibt das Passwort an die eigentliche Schadsoftware gibt noch eine Fehlermeldung aus das das Passwort falsch sei und löscht sich selbst. Damit kommt wieder das richtige sudo zum Einsatz. Du schöpfst keinen Verdacht weil es ja durchaus mal vorkommen kann, daß man sein Passwort einmal falsch eingibt. Schließlich klappt es ja bei der Wiederholung.
3. Die Schadsoftware kann jetzt ihrerseits sudo aufrufen und hat dein Passwort. Damit kann sie nun jede Menge Blödsinn anstellen.
...
Also irgendwie habe ich ja das Gefühl, dass dieser Angriff nicht auf jedem sudo-System so funktioniert, weil es mir wirklich wirklich schwer fällt zu glauben, dass RedHat und Suse Enterprise Linux ein solches Scheunentor in der Standardinstallation offen haben. Bist du ganz ganz sicher, dass du auf aktuell gepatchten Distributionen auf diese Weise so einfach an das sudo Passwort kommst?
...
Sollte ClamAV denn unter Linux auch die Windows Viren erkennt? Gibt es sonst eine kostenlose Lösung?
...
ClamAV erkennt AFAIK immernoch nur Windows-Viren und die großen Anti-Viren-Unternehmen wie Kaspersky bieten kostenlose Linux-Live-Images mit ihren Virenscannern an, aus denen man mit Geschick den Scanner auch leicht herausbekommt. Einmal im Jahr gibts als Beigabe zur c't die Antiviren-Live-Distro desinfec't die ein Jahr volle Cloud-Updates für vier verschiedene Scanner (Kaspersky, BitDefender ua.) enthält. Dafür zahlt der Heiseverlag Gebühren an die AV-Anbieter, aber die Live-Distros von Kaspersky und Konsorten selbst, mit denen man out of the box nicht viel anderes als nach Viren suchen und Systeme reparieren kann, haben zeitlich unbegrenzt Update-Zugriff auf die jeweilige AV-Cloud.

@ News
Also irgendwie werde ich aus dem Produkt nach lesen der News nicht schlau. Was genau macht ATP auf einem Linux-System denn alles? Dateien, die von Servern auf lokale Speicher geladen werden, zu scannen und auszusortiern wäre jetzt nichts spektakuläres. Spektakulär vielleicht neutral wäre, eine Verhaltensüberwachung der Serverprogramme, ob die sich auffällig verhalten. Allerdings fängt auch da schon ein berechtigter Schlangenöl-Einwand an, weil jede Verhaltensüberwachung eines für den Betrieb wichtigen Prozesses immer durch False Positive den Betrieb unnötig massiv stören kann und das in einem professionellen Betrieb auch immer wirtschaftlichen Schaden bedeutet. Man müsste also gar nicht so ganz großen Schwachsinn machen, wie den Betriebssystemkernel im Betrieb überwachen (und wer sich am Wörtchen "Schwachsinn" stört möge vier-fünf Seiten lesen), die Verhaltensüberwachung des Webservers reicht ja mitunter schon aus, wenn ein Server-Update mit der AV-Verhaltenserkennung bzw. eher umgekehrt nicht klar kommt. Jaja, auf einem Server installiere ich Updates erst, nachdem ich in Tests die Betriebssicherheit erfolgreich getestet habe - und dann lasse ich im Zweifelsfall die mit dem Serverupdate geschlossene Lücke drei Wochen offen, weil Kaspersky, Sophos, Microsoft, oder wie auch immer mein AV-Anbieter heißt, so lange braucht, um seine Verhaltenserkennung so umzutrainieren, dass die den gepatchten Server nicht mehr abschießt? Genau da macht dann AV das System unsicherer.

P.S.
Um mal den Auto-Airbag-Vergleich aufzugreifen. Verhaltenserkennung in Überwachung laufender Prozesse ist nicht ein Airbag, sondern ein Beifahrer auf dem Rücksitz, der mich schützt, indem er mich von hinten an den Schultern packt und festhält. Und manchmal verlangt dieser Beifahrer von mir, dass ich mich nicht anschnalle, damit er sich nicht im Gurt verheddert. :freak:
 
Zuletzt bearbeitet:

Serana

Lt. Commander
Dabei seit
Okt. 2016
Beiträge
1.603
Sehe ich das richtig, das MS zum ersten Mal offiziell Debian als Zielplattform unterstützt?
Für Visual Studio Code gibt es doch auch schon seit längerem ein offizielles Debian-Repository. Von der Politik Linux als den großen bösen Feind zu verteufeln hat sich Microsoft jedenfalls schon seit einiger Zeit abgewandt.

Bist du ganz ganzu sicher, dass du auf aktuell gepatchten Distributionen asuf diese Weise so einfach an das sudo Passwort kommst?
Das müßte man zwar in der Form ausprobieren, aber prinzipiell sind in den Foren schon entsprechende Überlegungen über die praktische Durchführung eines Angriffes bekannt.

Weiter oben hat @BeBur folgenden Link gebracht:
https://superuser.com/questions/793...from-sniffing-the-sudo-password/793241#793241

Prinzipiell ist ein Schutz gegen diese Art des Angriffes natürlich durchaus denkbar. Zum Beispiel indem man ausführbare Dateien oder Skripte in den Nutzerverzeichnissen generell verbietet oder indem ständig überwacht wird welche Dateien überhaupt gerade von welchem Ort ausgehend ausgeführt werden. So könnte das System dann einem falschen sudo-Befehl generell die Ausführung verweigern.

Man sollte sich einfach von der Zwangsvorstellung lösen, daß es absolut sichere Systeme gibt. Die gab es noch nie, es gibt sie derzeit nicht und ich bin mir auch ziemlich sicher, daß es sie niemals geben wird. Was Linux bis jetzt noch schützt ist die geringe Verbreitung. Es ist einfach wahrscheinlicher, daß der Nutzer eines Linux-Systems weiß was er tut, als daß dies bei einem Windows-Nutzer der Fall ist. Je weiter sich Linux auf dem Desktop verbreitet desto mehr gleicht sich diese Situation (leider nicht zum positiven) an.
 

MountWalker

Fleet Admiral
Dabei seit
Juni 2004
Beiträge
12.865
Den Link habe ich gelesen, nur ändert das an meiner Aussage nichts. Ich kann mir schwer vorstellen, dass ich auf einem aktuell gepatchten Red Hat oder Suse Enterprise Linux auf einem User-Konto der sudoers Liste ohne vorher Sudo-Privilieg durch Passwortabfrage zu erlangen das Ziel des sudo-Befehls ändern kann. Und wenn ich vorher doch den Benutzer der sudoers-Liste dazu briungen muss, sein Passwort für eine sudo-Freigabe einzugeben, dann habe ich keine triviale Rechteerhöhung sondern Social Engineering.
 

pmkrefeld

Captain
Dabei seit
Feb. 2012
Beiträge
3.604
In den Kommentaren mal wieder diese IT-Sec Profis, die laut in die Welt hinein schreien, dass man für Betriebssystem XY keinen Anti-Virus oder Thread Protection braucht. Die Argumente sind immer gleich:
"Wenn man aufpasst, dann passiert nichts."
"Wenn was passiert, dann hat deine IT-Abteilung versagt" (hat so ein pmkrefeld Typ gesagt)

Die würden dann auch argumentieren, dass Autos keine Airbags brauchen, weil wenn man vorsichtig fährt, dann kann gar kein Unfall passieren und wenn doch, ja dann hat der Fahrer versagt. ¯\(ツ)

Ein Begriff was solche Leute nicht kennen ist Schadensbegrenzung.
Wer würde ein Angriff oder ein Virus schneller erkennen und schneller darauf reagieren?
Ein IT-Sec Mensch, der nur eine 8 Stunden Schicht hat oder ein Programm, dass 24/7 läuft?
Hmm, um diese Frage zu beantworten braucht man dann schon einbisschen mehr als nur zwei Hirnzellen.

Und das letzte Ding ist: Was spricht denn gegen ein Anti-Viren/Anti-Thread Programm, wenn es nur da ist, um zu helfen? Letztendlich hat man dann mehr Sicherheit als ohne. Wie viel mehr Sicherheit, darüber lässt sich streiten. Aber dann warum nicht?
Ein Tipp für die Zukunft: Ein '@' vor dem Usernamen lässt die Leute auch wissen dass man über sie schreibt ;)
Ein weiterer wäre es anderen keine Argumente unter zu schieben, aber vor allem vielleicht etwas zurückhaltender aufzutreten wenn man sich mit der Materie nicht auskennt.

Um vielleicht auf deine 'Argumente' einzugehen: Wer ein Angriff schneller erkennen würde? Ich würde behaupten Akamai oder Notfalls Cloudflare, aber mit Sicherheit kein homöopathisches Anti-Viren Programm. Vor allem hatte ein Laden wie Akamai tatsächlich die Möglichkeit ein Angriff abzuwehren. Wenn du denkst nämlich denkst dass in der IT-SEC Leute 8 Stunden am Tag rumsitzen und schauen, ob alle Lämpchen grün leuchten dann liegst die ziemlich weit daneben.

Und der Schaden wird auch nicht durch ein Anti-Viren-Quark begrenzt, sondern durch Systeme die aktuell sind, mit Sinn und Verstand aufgesetzt und konfiguriert wurden, die in einer Systemlandschaft betrieben werden die nur das zulässt was man tatsächlich benötigt und keine Scheunentore offen lässt.

Und wenn du meinst dass man ein Anti-Viren Programm ohne Folgen einfach laufen lassen kann und es 'nur hilft', dann hast du nicht verstanden wie so ein Anti-Viren-Zeugs funktioniert. Es kostet Geld, Leistung, Administrationsaufwände und erfordert erhöhte Rechte mit denen es laufen muss. Darüber hinaus stellen Anti-Viren Programme meistens den größten Angriffsvektor da. Und nein, MS stellt da keine Ausnahme, es ist nicht lange her als der Windows Defender, alles was ausführbar war einfach ausgeführt hat, auch 'Viren' die daraufhin aus der VM ausbrechen und Windoof-Rechner infizieren konnten.
(https://www.zdnet.com/article/windo...ft-patches-critical-flaw-in-windows-defender/)
 
Top