[Probleme mit Windows-Updates und Systemtreibern]

Hallo,

Ich wollte an dieser Stelle mal auf ein Problem aufmerksam machen, mit dem ich mich schon seit ca. 3 Jahren herumschlage, welchen ich zwar behoben bekomme, mich aber ziemlich nervt.

Mittlerweile benutze ich auf meinem Testrechner Windows 11 Enterprise 23H2, aber bereits bei Windows 10 (vor über 2 Jahren) hatte ich oft nach KUs das "Problem", dass mir die Überprüfung mit sfc Integritätsverletzungen angezeigt haben, welche sich nicht mit dism beheben lassen, sondern nur mit sfc /scannow.
Da MS dism zur Reparatur eigentlich empfiehlt, gehe ich immer so vor, dass ich erst sfc /verifyonly zum Check benutze, welches mir dann ggf. anzeigt, ob beschädigte Dateien gefunden wurden. Danach setze ich erst dism mit scanhealth  und danach restorehealth ein, wobei keine Fehler behoben werden (um einen derartigen Fehler ausschließen zu können.
Im Anschluß dann sfc /scannow zur Reparatur, welches dann den Fehler behebt.

Aktuell war beim letzten KU: "2023-11 Kumulatives Update für Windows 11 Version 23H2 für x64-basierte Systeme (KB5032288)" wieder mal dieses Problem aufgetaucht und es betraf den Systemtreiber für die Bluetooth-Schnittstelle (war schon häufiger der Fall, aber nicht immer):

2023-12-06 01:45:43, Info                  DEPLOY [Pnp] Corrupt file: C:\WINDOWS\System32\drivers\BthA2dp.sys
2023-12-06 01:45:43, Info                  DEPLOY [Pnp] Corrupt file: C:\WINDOWS\System32\drivers\BthHfEnum.sys

Einen Malware-Befall kann ich definitiv ausschließen (mit verschiedenen Programmen und Rootkit-Scannern, sowie Live-CDs gecheckt) und auch ein Problem mit der Systemplatte (SSD) kann ich ausschließen, es tritt definitiv nur nach dem Update von einigen (nicht allen) KUs auf, was auf einen eindeutigen Zusammenhang schließen lässt.
Das KU wurde ohne Fehler installiert und es gab auch keine Abstürze, oder andere Fehler, aber gerade Probleme mit Systemtreibern können natürlich schwer zu lokalisierende Fehler verursachen, welche ich vor langer Zeit mal mit den Soundtreibern auf einem anderen Rechner hatte, weshalb ich solche Dinge immer gleich überprüfe.

Nun habe ich in einem Beitrag von MS aus 2018 (bzw. einem Analysten) gelesen, dass Kaspersky dafür verantwortlich sein könnte (vom Defender halte ich nichts):

Zitat

1. One very likely cause is Kaspersky so I would fully uninstall it and use Windows Defender. WD in Windows 8/8.1 & 10 is a complete antivirus product and very effective as well as offering superior compatibility.

Quelle: 

Spoiler

https://answers.microsoft.com/en-us/windows/forum/all/bsod-btha2dpsys-error/afa4bc46-4168-4b0b-b0a0-d325dd5bbe8c

Meine Vermutung geht da zwar eher in die Richtung, dass es ein Problem mit dem Update-Prozess geben könnte, denn MS ist ja bekannt dafür, oft mehr neue Probleme zu verursachen, wie zu lösen, oder anders ausgedrückt zu verschlimmbessern, aber ausschließen kann ich es aktuell auch nicht.

Ist euch da etwas bekannt, bzw. wäre es theoretisch möglich, dass es da einen Zusammenhang gibt?

Falls es hilfreich ist, könnte ich euch 2 CBS-Logdateien (eines von dem besagten und eines vom KU davor) zur Verfügung stellen.

Im übrigen habe ich dieses Problem auch schon auf anderen Rechnern festgestellt, bin mir nur nicht sicher, ob da überall Kaspersky installiert war und zum Zurücksetzen mittels Backup und dem testen ohne Kaspersky fehlt mir schlicht die Zeit.

 

[Schwachstellensuche - gewünschte Verbesserung]

Am 28.11.2023 um 22:10 schrieb Schulte:

Hi @Tomtom33,

manche Dinge, die Du gerne sehen würdest, sind zumindest angedacht, dazu weiter unten.
Schwachstellen ignorieren in der Erwartung, das AV regelts schon, ist keine empfehlenswerte Einstellung und sollte auch vom unbedarftesten User nicht vertreten werden. Zu IT-Fachleuten werden diese User nie, aber die Sensibilität nimmt auch unter jenen zu. Daher halte ich eine Warnung zumindest nicht für vollkommen nutzlos.

In der Kurzübersicht zu den Funden kannst Du einen markieren und über "Details" weitere Informationen auf "threats.kaspersky.com" dazu nachschlagen.
 

  Inhalt verstecken

In meinem Beispiel wird auf die Schwachstelle 60809 verlinkt (kann man auch im ausführlichen Untersuchungsbericht nachsehen).
Jetzt kommt das Aha-Erlebnis: es funktioniert (bei mir mit diesem Beispiel) nicht. Ob es an meinem System mit verrammelter Firewall liegt oder ob ein genereller Fehler vorliegt ließ sich auf die Schnelle nicht feststellen. Ersichtlich ist aber der gute Wille, mehr Info in Deinem Sinne zu bieten.

Das funktionierte in meinem Fall bei der Schwachstellensuche auch nicht 😉

Zitat

Nach meiner Erfahrung werden oft Alt- bis Uraltinstaller, die der User wohl aus Nostalgiegründen aufgehoben hat, bemängelt. Vermutlich werden sie nie wieder gestartet und können zur Not auch als Ausnahme definiert werden.

Das Problem mit den verwundbaren Bibliotheken noch genutzter Programme bleibt aber.
Windows selbst bietet da schon einen gewissen Schutz. Hat ein Programm seine Bibliotheken nach Vorschrift registriert und sie lungern nicht nur in einem beliebigen Verzeichnis herum, fällt für einem Angreifer der Zugriff schon mal nicht ganz einfach aus. Er muss Tricks anwenden und die fallen dann in den Bereich der Programmkontrolle. Aber zu 100% verlässlich ist nichts. Es wäre schon besser, die verwundbaren Teile zu ersetzen...

Exakt, einen 100% Schutz gibt es nicht, das steht außer Frage und ja, veraltete und verwundbare Bibliotheken stellen immer ein Risiko dar, weshalb ich ja gerade eine etwas bessere Sichtbarmachung für unabdingbar halte, also eine sofort ersichtliche Klassifizierung.

Zitat

Über diese Spezies sage ich besser nichts. Manchmal lesen hier auch Minderjährige mit...

Dann hast Du hoffentlich viele Beratungsgespräche mit Deinem Bekanntenkreis.

Dazu gehören allerdings nur keine Minderjährigen, sondern eher ältere Semester und Anwender von Firmen 😎
Zu Social Engineering im Allgemeinen brauche ich dir wohl eher nichts erzählen, denn da gibt es so einiges, wo man nur mit dem Kopf schütteln kann.

Aber gut das ist ein anderes Thema.

[Schwachstellensuche - gewünschte Verbesserung]

Du hast sehr ausführlich erklärt und klar, ich bin mir dessen durchaus bewusst.

Sicherlich wäre das u.U. risikobehaftet und vielleicht auch nicht in jedem Fall hilfreich, nur auf der anderen Seite wäre wenigstens ein Hinweis bei derartigen Funden hilfreich und wenn er nur sehr allgemein gehalten wäre, wie "diesen Fund können Sie ignorieren, da eine Ausnutzung von der Programmkontrolle verhindert werden würde", oder ähnlichem.
Ein unbedarfter Anwender kann ansonsten ja nicht wissen, ob das jetzt gefährlich ist, oder nicht und wie er sich da verhalten sollte.

Eine zusätzliche Risikobewertung zu den Funden wäre bspw. auch hilfreich, wo dann anhand der Risikobewertung der Nutzer das ganz einfach ableiten kann.
Auch macht es wohl eher wenig Sinn solche Schwachstellen-Funde zu listen, wenn diese eh ignoriert werden können, da ein Ausnutzen abgefangen wird.
Meine Meinung dazu: wenn listen, dann bitte mit Risikoeinschätzung und Hinweisen, denn sonst ist diese Funktion eigentlich als völlig nutzlos zu werten.

Im Falle der 7z Schwachstelle sehe ich eigentlich sehr wenig Potential, dass ein Austausch negative Folgen haben könnte, sehe dabei aber durchaus Potential seitens Angreifer, die über diesen Umweg ggf. Sicherheitslücken ausnutzen könnten (das bekommen sogar Skript-Kiddies hin). Aber auch richtig ist, dass das gezielte Ausnutzen von der Programmkontrolle erkannt werden sollte, was das Ganze dann natürlich relativiert, nur auf der anderen Seite das Listen solcher Funde unnötig und kontraproduktiv macht.

Man denke dabei bitte auch diejenigen, die bspw. für ein Spiel den Echtzeitschutz vorübergehend deaktivieren (ich weiß keine gute Idee), von jemandem etwas herunterlädt was ihm im Spiel angeblich helfen soll, welches aber genau so etwas ausnutzt und dadurch zum Beispiel ein Backdoor installiert, dann ist es installiert und soweit es bereits bekannt ist, würde es zwar sicherlich erkannt werden, nur ich brauche wohl kaum betonen, dass derartige "Baukästen" dafür immer ausgefeilter werden und damit auch schwer detektierbar sind.
Sicherlich liegt das Problem dabei beim Anwender, eindeutig, aber vielleicht wäre das erst gar nicht möglich gewesen, wenn der Anwender zumindest die Möglichkeit zur Behebung gehabt hätte und solche Schwachstellen behandelt hätte (Deinstallation des betreffenden Programms, Update, oder Austausch der Programmteile wie bei 7z bspw.).

Wie bereits eingangs gesagt, für mich persönlich stellt das kein Problem dar eine eigene Bewertung vorzunehmen, nur gehöre ich auch nicht zu den ca. 98% unbedarften Nutzern und bin in der IT und der IT-Sicherheit ausreichend geschult.

 

[Schwachstellensuche - gewünschte Verbesserung]

Hallo liebes Team,

bei eurer Schwachstellensuche unter Windows fehlt mir leider die Möglichkeit gefundene Schwachstellen beheben zu lassen, soweit dieses möglich ist.
Aktuell  werden mir einige angezeigt, die sich ausnahmslos auf ältere Versionen von 7z beziehen, da diese von einigen Programmen intern genutzt und automatisch mit installiert werden (da war sogar eine Version 9.x dabei), welche ja in älteren Versionen kritische Schwachstellen aufweisen.

Bei mir betraf das u.A. Winget, welches ich regelmäßig benutze und es natürlich ein Sicherheitsrisiko darstellt, obwohl bei mir die aktuelle Version von 7z installiert ist.
Nun hat Windows ja die Angewohnheit durch die Installationen zu schützen was durchaus Sinn ergibt, aber in solchen Fällen auch extrem hinderlich sein kann, da ich jeweils erst die Rechte übernehmen muss, um die betreffenden Dateien austauschen zu können.
Für einen unerfahrenen Nutzer dürfte das eine unüberwindliche Hürde darstellen und vermutlich wird er das dann ignorieren.

Bei einigten anderen Schwachstellen lässt sich das zwar meist mit Updates beheben, nur eben nicht in dem genannten Fall, wo veraltete Dateien in aktuellen Versionen der Programme einfach mit installiert werden. Ob bei der Nutzung des betreffenden Programms dann die veraltete, oder die aktuell installierte genutzt wird, ist dann nicht so einfach festzustellen, ohne den Quellcode zu kennen.

Nun wäre es sicherlich nicht so sonderlich aufwändig für euch (bin selbst Programmierer) den Nutzern diese Arbeit abzunehmen, zumindest im Falle von 7z und andernfalls eine Lösung dafür vorzuschlagen (bspw. Update des Programms, welches ja zum Teil schon durch eine andere Funktion erfolgt).

Ich denke das dürfte einigen Anwendern dabei helfen mögliche Schwachstellen auch beseitigen zu können.

 

Gruss Tom