Jump to content

Kaspersky Exploit-Prävention blockiert Excel-VBA-Code


Recommended Posts

Posted

Hallo Zusammen,

ich habe über das Kaspersky Security Center 13 auf allen PCs in meiner Domäne das Endpoint Security 11.6 verteilt. 

In der Richtlinie sind bis auf die Programmüberwachung alle Schutzkomponenten aktiviert.

Ein Problem habe ich nun aber wenn ich eine Excel-Datei mit Makro öffnen möchte, in der über VBA-Code eine Tabellenaktualisierung durchgeführt wird. Hier bekomme ich immer den Fehler

“Cannot create process. NativeErrorCode:5”

Dieser Effekt tritt nur auf, wenn die Exploit-Prävention in der Richtlinie aktiviert ist. Auch die Option “Informieren” ändert nichts am Verhalten. Im Bericht am Endpoint bei der Exploit-Prävention wird nichts angezeigt, dass hier etwas geblockt wird.

Auch wenn ich die Datei zu den Ausnahmen hinzufüge ändert sich das Verhalten nicht, die Ausnahmen scheinen bei der Exploit-Prävention nicht zu greifen!

Hat hier vlt. jemand eine Idee wie ich dieses Problem gelöst bekomme ohne die Exploit-Prävention zu deaktivieren? 

MFG

Miidas

Posted

Hallo Miidas,

willkommen im Forum.

Warum ist das Modul “Programm-Überwachung” deaktiviert?

Aber zu deiner Frage:
Die Ausnahmen greifen tatsächlich nicht für die Exploit-Prävention. Allerdings sollte die Einstellung “Informieren” funktionieren. Hast du die Schlösser in der Richtlinie zu? Sonst wird die Änderung nicht an die Systeme übertragen.
Weiterhin steht für KES11.6 ein PF zur Verfügung - mein letzter Stand ist PF8913. Damit werden einige Probleme beseitigt - ein Einspielen lohnt sich auch unabhängig von deiner Fragestellung. Der PF muss beim Support angefordert werden oder du fragst deinen Kaspersky-Partner.

Grüße
Alex

Posted

Hi Alex,

danke schonmal für deine Antwort. Die Schlösser in der Richtlinie sind alle zu und werden auch auf die Systeme übertragen!

Ich hab vom Support den aktuellen PF8913 für das KES11.6 zur Verfügung gestellt bekommen, leider hat dies keine Besserung gebracht.

Ich verstehe leider momentan auch nicht ganz warum trotzdem geblockt wird, auch wenn KES nur informieren soll!

Gruß

Miidas

Posted

Hallo Miidas,

bitte entschuldige die späte Rückmeldung - bin gerade im Job ziemlich eingespannt.

Bist du sicher, dass es an der Exploit-Prävention liegt? Das ist eher ungewöhnlich.
Ich hätte eher den AMSI-Provider oder die “Adaptive Kontrolle von Anomalien” in Verdacht. Gibt es dazu keine Events?

Grüße
Alex

Posted

Hallo,

kein Problem, mir geht es genauso!

Ich bin mir sicher, dass dieses Phänomen nur auftritt wenn die Exploit-Prävention aktiviert ist. Leider gibt es dazu keine Events die protokolliert werden, deshalb war es sehr aufwendig überhaupt rauszufinden das es an der Exploit-Prävention liegt. Ich musste im Ausschlussverfahren alle Einstellungen durchtesten wann der VBA-Code läuft und wann nicht!

Grüße

Miidas

Guest
This topic is now closed to further replies.


×
×
  • Create New...