Wieso triggert Microsoft Edge Update den Kaspersky Selbstschutz?

[bvdo]

Guten Morgen allerseits!

 

Uns fallen in den lokalen Kaspersky-Logs diverse Einträge auf der Form

Programm:     Microsoft Edge Update
Aktion:     Beenden eines Prozesses
Objekt:     C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\avp.exe
Ergebnis:     Verboten
Benutzer:     ***
Komponente:     Schutz

 

Edge ist dabei ein Beispiel, aber auch Google Chrome Update oder Adobe Genuine Software Service generieren ähnliche Einträge.

 

Wenn ich die Einträge richtig lese, versuchen diese Programme also avp.exe zu beenden. Insofern wäre es natürlich nur folgerichtig, wenn der Selbstschutz dies unterbindet.

 

Irritierenderweise finde ich im Web keine Hinweise dazu, wieso eigentlich diese Prozesse versuchen, Kaspersky-Prozesse zu beenden (oder ich bin zu doof zum suchen?). Auch im Security-Log von Windows finde ich da nichts bzgl Process Creation/Termination, die wir protokollieren.

 

Ich würde diese Ereignisse gerne besser verstehen, hat jemand hier im Forum schon einmal genauer diesbezüglich nachgeforscht und kann mich in die richtige Richtung schubsen?

 

Interessierte Grüße aus Dortmund

[alexcad]

Hallo bvdo,

welche Version der KES setzt du ein? Diese Meldungen kamen teilweise mit etwas älteren bzw. ungepatchten Versionsständen und lassen sich mit der Installation einer aktuellen Version ggf. inkl. Patch in der Regel aus der Welt schaffen.

In meiner Demoumgebung konnte ich seit längerer Zeit keine Events dieser Art in den Protokollen finden. Ich habe jeweils ungepatchte Installationen der KES11.6, KES11.7 und KES11.8_beta laufen.

In produktiven Umgebungen setzen wir aktuell KES11.7 mit PF9325 ein.

Grüße
Alex

[bvdo]

Moin,

 

wir sind in der Tat noch auf 11.4. Ich interpretiere Deine Antwort jetzt also

als “vermutlich Fehlalarm” und teste mal die 11.7, danke für den Hinweis.

 

Gruß aus DO

[bvdo]

FYI: leider nein. 11.7 installiert, Edge Update initiiert und:

Ereignis: Der Selbstschutz hat eine Aktion mit Ressourcen des Programms blockiert
Programmname: MicrosoftEdgeUpdate.exe
Programmpfad: C:\Program Files (x86)\Microsoft\EdgeUpdate
Programm-PID: 5788
Programmfunktion: Öffnen eines Prozesses
Objekt: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\avpui.exe
Benutzername: NT-AUTORITÄT\SYSTEM
Benutzertyp: Nicht definiert
Komponente: Schutz