Microsoft aktualisiert Windows Defender, um Superfish-Infektion zu entfernen

Updated 20-Feb, um Kommentare von Mozilla und Symantec enthalten und um Details über Drittanbieter-Antivirensoftware hinzuzufügen. Updated 21-Feb mit zusätzlichen Details über Norton Software.

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter

Einige Stunden nachdem dieser Artikel veröffentlicht wurde, erkannte Lenovo Sicherheitsprobleme mit der vorinstallierten Software auf seinen Verbraucher-PCs und veröffentlichte sein eigenes Entfernungswerkzeug.

Das Microsoft Security Response Team kann sich sehr schnell bewegen.

Die Tech-Welt explodierte am Donnerstag mit der Offenbarung, dass Lenovo ein Adware-Programm namens Superfish Visual Discovery auf einer unbekannten Anzahl seiner Consumer-PCs vorinstalliert hatte, mit dem zusätzlichen Bonus eines lokalen Root-Zertifikats, das für die Besitzer der betroffenen Maschinen ein schreckliches Risiko darstellte.

Am Freitag veröffentlicht Microsoft die neuesten Definitionen für seine Windows Defender-Software, die standardmäßig auf allen Windows 8.x PCs enthalten ist. Die neuen Definitionen, die automatisch installiert werden, erkennen und entfernen Sie die beleidigende App und das Zertifikat.

Ein Lenovo Sicherheitshinweis beschreibt die Modelle der Notebooks, die von der Superfish SSL Hijacking betroffen sind, während eine Unternehmensbehauptung sagt, dass Superfish verwendet wird, um die Nutzer-Computing-Erfahrungen zu verbessern.

Um die Effektivität des Entfernens zu testen, installierte ich das Superfish-Paket mit einer Kopie von einem Sicherheitsforscher, der es von einem Lenovo PC extrahiert hatte. Ich bestätigte, dass die Software sowohl die Superfish-Anwendung als auch das gefährliche Root-Zertifikat hinzugefügt hat.

Windows Defender hatte heute morgen meinen virtuellen PC gescannt und Definitionen verwendet, die bei 3 Uhr automatisch installiert worden waren und nichts entdeckt hatten. Nachdem ich manuell auf die neuesten Definitionen aktualisiert und lief einen schnellen Scan, jedoch erkannte das System das Lenovo-Zertifikat und empfahl seine sofortige Entfernung.

Nach OKing der Bereinigung und Neustart, öffnete ich Zertifikat-Manager und bestätigte, dass das verletzende Wurzelzertifikat tatsächlich gegangen war.

Auf Systemen, die keine aktive und aktuelle Antivirensoftware haben, läuft Windows Defender automatisch. Die Ereignisprotokolle auf meinem Testsystem zeigen täglich mehrere Scans und mehrere Definitionsupdates.

Wenn ein anderes Antivirenprogramm ausgeführt wird, ist Windows Defender deaktiviert. Es wird nicht geplanten Scans, noch können Sie manuelle Scans. Wie Peter Bright von Ars Technica bemerkt, ist dies auf Lenovo-PCs problematisch, wo die Käufer eine Antivirensoftware installiert haben, die als Teil derselben Software von Drittherstellern enthalten ist und Superfish und das dazugehörige Zertifikat enthält.

Es gibt keine Garantie, dass andere Sicherheits-Software-Hersteller erkennen und entfernen diese gefährliche Software. Ich installierte eine Testversion der neuesten Norton Security-Software von Symantec, aktualisierte sie mit den neuesten Definitionen und führte dann einen schnellen Scan eines Systems durch, das mit der Lenovo-Version der Superfish-Software infiziert war. Die Norton-Software hat keine Warnungen ausgelöst, obwohl die Security Response-Datenbank von Symantec Superfish als Adware identifiziert (klassifiziert sie als geringes Risiko).

Ich habe dann einen vollständigen Scan durchgeführt, der auch keine Warnungen auftauchte. Seltsamerweise enthielt das Norton-Protokoll Erkennungen für Superfishcert.dll und Visualdiscovery.exe, aber beide Dateien wurden als “Exonerated” aufgelistet.

Über E-Mail, sagte Brian Ewell, Threat Intelligence Officer für Symantec Security Response, war er nicht in der Lage zu erklären, warum die Norton-Software nicht erkennen diese Bedrohungen

Wir haben Entdeckungen freigegeben, so ist es schwer zu sagen, warum dies nicht für Sie ausgelöst, ohne zu wissen, welche Version der Definitionen Sie ausgeführt wurden und welche Version des Superfish-Programm Sie installiert hatten.

Wir aktualisieren ständig unsere Erkennung für diese, wie wir neue Proben zu begegnen und untersuchen alle zusätzlichen Sanierungsmöglichkeiten.

Update 21-Feb: Overnight, die Norton-Software heruntergeladen und installiert neue Erkennungssignaturen, und als ich heute Morgen die Norton-Software wurde ein Dialogfeld anzeigt, dass es Superfish.adware als Bedrohung erkannt hatte. Die empfohlene Aktion war jedoch, die Superfish-Dateien auszuschließen. Ich musste diese Option manuell auf “Fix” an drei verschiedenen Stellen ändern. Die Norton-Software erkannte oder bietet nicht an, das potenziell gefährliche Superfish-Zertifikat zu entfernen.

Eine Einschränkung: Windows Defender überwacht nicht Mozilla Firefox, der seinen eigenen Zertifikatspeicher unterhält. Nach erfolgreichem Ausführen der Bereinigung überprüfte ich den Zertifikatspeicher in Firefox und entdeckte, dass das potentiell gefährliche Stammzertifikat noch in diesem Browser installiert war und eine manuelle Entfernung erfordern würde. Mozilla’s Kryptographie-Ingenieur-Manager, Richard Barnes, sagt per E-Mail, dass das Unternehmen “die Untersuchung dieser Situation” und wird weitere Updates, wenn ihre Untersuchung abgeschlossen ist.

Mein Testsystem hatte nicht Google Chrome installiert, so konnte ich nicht überprüfen, ob es das manuelle Entfernen des Zertifikats erfordert. Da Chrome den Windows-Zertifikatspeicher verwendet, ist es unwahrscheinlich, dass dies ein Risiko darstellt, aber ich habe Google um Bestätigung gebeten und wird diesen Beitrag mit jeder Antwort aktualisieren

(Beachten Sie, dass diese Überprüfung von Drittanbieter-Browsern erforderlich ist, da ich Superfish installiert habe, nachdem Firefox bereits installiert war.) Auf einem OEM-System, in dem ein alternativer Browser nach der Installation installiert wird, ist dieser Schritt eventuell nicht erforderlich aufrechtzuerhalten.

In den letzten Monaten hat Microsoft unter Feuer für langsame Reaktion auf Sicherheitslücken in Windows gekommen. Dieser Fall unterscheidet sich qualitativ dadurch, dass der beanstandete Code nicht Bestandteil von Windows ist und keine umfangreichen Tests erfordert. Für Windows-Benutzer, die nicht bereit oder technisch in der Lage, die heikle manuelle Entfernung durchgeführt werden, ist dies eine sehr gute Nachricht.

Die unerwünschte und potenziell gefährliche Software wurde auf einigen Lenovo Consumer PCs zwischen September und Dezember 2014 vorinstalliert. Wenn Sie vor diesem Datum einen Lenovo PC erworben haben, sind Sie wahrscheinlich nicht betroffen. PCs, die im Januar oder Februar verkauft wurden, könnten nach wie vor gefährdet sein, wenn sie im letzten Quartal 2014 ausgeliefert wurden und sich zwischenzeitlich im Lager oder in den Regalen befanden.

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer