News Windows Defender: Schwerwiegende Sicherheitslücke geschlossen

[/root]

das SemperVideo ist wirklich ein Schwachsinn. AV Evasion gibt es schon seit Ewigkeiten und macht es den AV Scannern nur schwieriger aber macht sie nicht obsolet
Die AV Engine hat auf einem OS überall ihre Finger drinnen und kann alle Artefakte analysieren, wenn der Schadcode also entpackt wird zur Laufzeit fallen immer IOCs ab die man detektieren kann

 

[Neronomicon]

Das erste Video ist von vor 2 Jahren und das andere von vor 6. Die Videos sind auch nicht Schwachsinn, da er nur aufzeigt was rausgefunden wurde.
Auch sagt er nicht das deswegen AV Programme obsolet sind. So richtig schaust du dir die Videos nicht an? Es gibt auch noch andere Videos, wo er aufzeigt, wie leicht AV Programme auszutricksen sind.

Der Grund ist eher, das aufgezeigt wird, dass das geliebte Dritt-Av doch nicht so dolle ist, wie man geglaubt hat.
Welches nutzt du denn?

 

[LuckyMagnum]

Verteidigst du ihn auch noch? Natürlich sagt er das aus, was ich schrieb! Allein schon in seinen Titeln steht es schwarz auf weiss!

Neronomicon du hast einfach nicht verstanden, was da überhaupt passiert, genauso wenig wie Sempervideo selbst. Vielleicht solltest DU dir die Videos nochmal "richtig" anschauen, bevor du so einen Quatsch verbreitest.

 

[Smagjus]

Bis auf die Tatsache, dass die Titel keine Allgemeingültigkeit haben, hast du bisher immernoch keine konkrete Kritik an den Videoinhalten selbst geäußert.

 

[Neronomicon]

@TungstenCarbide

Ich glaube bei dir sind es auch eher persönliche Animositäten. "Verteidigst du ihn auch noch?" ...oweia, habe ich jetzt ein Verbrechen begangen?

Halten wir fest, dass du Sempervideo, oder den Mann dahinter nicht magst und mir es nicht so geht. Schönes Wochenende.

 

[LuckyMagnum]

Ich mag ihn tatsächlich sehr gerne, er erzählt einfach nur Dinge, die unwahr sind.

@Smagjus: Was genau, habe ich bereits in meinen vorigen Kommentaren ausgeführt (Details dazu finden sich auch in den Kommentaren zu seinen Videos).
Aber gerne nochmal extra für Dich: Die Verschlüsselung bleibt gleich, es wird dem Benutzer nur etwas anderes angezeigt, weil sich das AV-System noch dazuschaltet. Dies setzt aber nicht die bisherige Verschlüsselung ausser Kraft.

@Neronomicon: Verstehe nicht, wie du darauf kommst. Du bist Derjenige, der hier persönliche Beweggründe in's Spiel bringt.
Ich finde es grundsätzlich bei ALLEN Personen abstoßend, wenn sie Lügen erzählen, nicht nur bei Sempervideo.
Dir auch ein schönes WE.

 

[exuser0815]

Und wieder sind alle aufs Schlangenoel reingefallen:
https://www.heise.de/security/meldu...osofts-Malware-Protection-Engine-3728141.html

Die Abstaende der Sicherheitsluecken von unnoetiger SW wird immer geringer.

 

[Sun_set_1]

Ich mag ihn tatsächlich sehr gerne, er erzählt einfach nur Dinge, die unwahr sind.

@Smagjus: Was genau, habe ich bereits in meinen vorigen Kommentaren ausgeführt (Details dazu finden sich auch in den Kommentaren zu seinen Videos).
Aber gerne nochmal extra für Dich: Die Verschlüsselung bleibt gleich, es wird dem Benutzer nur etwas anderes angezeigt, weil sich das AV-System noch dazuschaltet. Dies setzt aber nicht die bisherige Verschlüsselung ausser Kraft.

Hund und Schwanz.

Wenn sich das AV zusammen mit Kernel im ASLR einnisted zerstört es nicht das ASLR, komplett richtig.
Wenn aber - wie im Falle von Kaspersky vor ein paar Monaten - mit unsicheren Zertifikaten im Kernel gearbeitet wird, dann Hund und Schwanz. In dem Moment ist das ASLR dann tatsächlich unsicherer, als es dies ohne AV wäre.

Soweit so gut. Trotzdem sehe auch weiterhin Bedarf für Signatur / Heuristik basierte Scanner. Zum einen erstmal für die 98%, deren Know-How sich unter dem des CB-Foren Besuchers befindet. Wenn diese User alle 3 oder 4 Tage ihren PC anmachen, ist ein sich selbst aktualisierendes AV mehr als sinnvoll. Denn dann befindet sich eventuell die ein oder andere Mail in der inbox, die dann automatisch wegsortiert wird.

Wenn ich als super erfahrener Anwender Noscript, Werbe / Pixelblocker, vernünftig eingestelle UAC Rechte und weiterhin auch mit meinem Gehirn arbeite, fängt man sich idR auch nicht schnell was ein.

Aber auch hier: Nichts derer schützt vor 0-Day Attacken. Weder noscript, weder AV noch sonst irgendwas. Drive-by über die Webbrowser-Engines oder was auch immer können und werden immer wieder vorkommen. Es gibt keine absolute Sicherheit.

Trotzdem spricht das einem AV nicht die Daseinsberechtigung ab.

 

[andy_m4]

Soweit so gut. Trotzdem sehe auch weiterhin Bedarf für Signatur / Heuristik basierte Scanner. Zum einen erstmal für die 98%, deren Know-How sich unter dem des CB-Foren Besuchers befindet. Wenn diese User alle 3 oder 4 Tage ihren PC anmachen, ist ein sich selbst aktualisierendes AV mehr als sinnvoll. Denn dann befindet sich eventuell die ein oder andere Mail in der inbox, die dann automatisch wegsortiert wird.

Die Frage ist nur, ob für viele dieser Leute ein Windows-PC überhaupt das Richtige ist.
Bei einem universell einsetzbaren Gerät wie einem Computer hast Du halt immer ein Dilemma. Schränkst du die Möglichkeiten ein, um Schäden zu verhindern schränkt das auch die nützlichen Möglichkeiten ein.

Viele Anwender wollen aber vielleicht gar nicht viel machen. Die wollen im Internet surfen, vielleicht mal ihre Steuererklärung machen oder Behördenpost beantworten usw.
Und es gibt ja durchaus Appliances die so in die Richtung gehen. Man denk nur Smartphones/Tablets wo Du halt nur Programme aus einem betreuten Shop installieren kannst etc.
Auf dem PC setzt sich so was irgendwie nicht durch.
Wäre aber eigentlich der passendere Ansatz, anstatt ihm ein Kann-Alles-Computer hinzustellen und dann irgendwie mit nem Antivirenprogramm zu gucken, dass da auch ja nix kaputt geht.

Aber auch hier: Nichts derer schützt vor 0-Day Attacken. Weder noscript, weder AV noch sonst irgendwas.

Gibt es schon. FÜr den Linux-Bereich denk ich da z.B. an GRSecurity oder auch SELinux, wo Du das System halt so vernageln kannst, dass selbst ein Root-Exploit abgewehrt werden kann.
Das schützt zwar nicht zu 100%, legt aber die Latte deutlich höher.
Das Problem ist hier eher, dass es nicht so einfach zu konfigurieren ist und auch bestehende Programme teilweise ihre Probleme haben.
Man muss aber auch dazu sagen, das ie etablierten Betriebssysteme durch die Bank weg keine wirklich gute Architektur haben, um Sicherheit auf wirklich hohem Level mit annehmbaren Aufwand zu gewährleisten.
Eigentlich bräuchte es hier mal eine Konsolidierung. Macht aber keiner, weil alle den Aufwand scheuen und man meint mit dem was man hat noch gut ne Weile hinzukommen. Aber in Wirklichkeit verteilt man den Aufwand nur und muss am Ende vielleicht sogar mehr leisten.

Drive-by über die Webbrowser-Engines

Die ja nicht zwangsläufig mit Userrechten laufen muss. Da wäre ne Sandbox ganz angenehm, wie sie die Browser ja auch schon teilweise eingebaut haben. Das gibt dann zwar immer noch keine 100%-Sicherheit, aber es geht ja auch nur darum, die Hürden möglichst hoch zu machen.

Trotzdem spricht das einem AV nicht die Daseinsberechtigung ab.

Darüber kann man geteilter Meinung sein. Allerdings befördert die aktuelle Softwarelandschaft auch das Gedeihen solcher AV-Lösungen.

 

[Uninstaller]

http://www.pc-magazin.de/news/windo...sicherheitsluecke-patch-kb890830-3197905.html

Aber der Defender reist ja angeblich keine Lücken ins System wie andere AVs....

 

[Sun_set_1]

@Andy

Dem ist nicht viel hinzuzufügen - das Groß sehe ich genauso. Trotzdem, wenn ich an meinen 70 Jahre alten Vater denke, der seinen Windows-Laptop alle paar Tage anschmeißt um Rechnungen zu schreiben und die neuen Aldi / Lidl Newsletter zu checken, bin ich froh dass es AV's gibt.

Natürlich könnte ich mich auch eine Stunde davor setzen und die Richtlinien derart einstellen, das nicht mehr viel passieren kann. Auf die Anrufe jeden dritten Tag wieso dies und das nicht geht verzichte ich dann aber auch wieder gern.

Man kann also sagen, dass mein Urteil über die Sinnhaftigkeit der Virenscanner auch der eigenen Bequemlichkeit geschuldet ist.

Weiterhin ist auch zu beachten was /root eingangs der Seite geschrieben hat. Auch Viren die noch nicht in der Datenbank sind, können durch das Entdecken von bestimmten IOCs oder API-Calls identifiziert werden. Hierfür reicht mir schlicht der Glaube daran, dass ein Virenprogrammierer nicht die Zeit hat die Heuristik aller AV-Tools vorher durchzutesten.

Was die Semper-Videos angeht: "Gähn"
Conclusio: Weil es AV-Evasion Techniken gibt, ist ein AV unsicher? Gut, dann lassen wir demnächst ASLR und Sandboxing auch gleich sein, denn ASLR lässt sich durch sprayen überlisten - die Sandbox kann escaped werden.

Diese Argumentation ist mir dann doch ein bisschen zu dürr.

Womit wir auch bei dem von Dir angesprochenen Browser Drive by / Userland wären. Natürlich kann ich den Browser beschränkt ausführen und Chrome etc. führen jeden Tab in einer einzelnen Sandbox aus. Ähnlich der AV Argumentation von Semper könnte ich jetzt argumentieren, dass ich bei einem Escape aus der Sandbox in der Regel auch meistens direkt das Userland verlasse und mich komplett frei bewegen kann.

Gleiches für ASLR. Schaffe ich es durch sprayen Code zu identifizieren, einzuschleusen und anschließend durch einen Systemprozess ausführen zu lassen - bewege ich mich meist auch direkt im Kernel.

Folge ich nun Sempers Logik, müsste ich also argumentieren: Eine Sandbox macht das System unsicherer. ASLR macht das System unsicherer. Lassen wir beides mal besser weg.

Natürlich ist das Schwachsinn, aber genau genommen entspricht dies genau der Logik, mit der gegen AV's argumentiert wird.

 

[>_<]

Gleich mal an die Leute verlinken, die alle unter dem Thema "Kaspersky Lab: Gratis-Virenscanner Kaspersky Free gestartet" gemeint haben "MS kennt doch sein Betriebssystem und Windows Defender ist doch super, der reicht mir und schützt mich komplett"