Seit etwa Ende July 2020 häufen sich die Berichte, dass Microsofts Windows Defender auf Windows 10 die HOSTS Datei als Sicherheitsrisiko einstuft, wenn daran Veränderungen vorgenommen wurden. Die HOSTS Datei ist eine Textdatei, in der netzwerkspezifische Konfigurationen für Domains/ IP-Adressen zur Erkennung vom Domain Name System (DNS) vorgenommen werden können. 

Die HOSTS Datei ist unter folgendem Speicherort in jeder Windows Version aufzufinden: C:\Windows\system32\driver\etc\HOSTS (alternativ über: %windir%\system32\drivers\etc\hosts ). Die HOSTS Datei kann nur durch entsprechende Administratoren Rechte unter Windows bearbeitet werden. Achtet also darauf, wenn Ihr mit dieser Datei arbeitet, dass Ihr stets über diese Administratoren Rechte verfügt. 

! Disclaimer: Bitte führe an der HOSTS Datei nur Veränderungen durch, wenn Du Dir alle Risiken bewusst bist und Du zu 100% weißt was Du machst. Andernfalls kann es zu unerwünschten Nebeneffekten kommen !

Problembeschreibung 

Nach einem Windows 10 Update mit dem Kürzel „KB4565351“ auf der installierten Windows Version 1909 erhielt ich den folgenden Fehler, den mir der Windows Defender meldete und in der Windows 10 Sidebar angezeigt wurde: Windows Defender Antivirus hat Bedrohungen festgestellt! 

Windows 10 Defender Popup Meldung

Windows 10 Popup im SideMenu

Anmerkung: Dieses Problem konnte ich auch auf einem anderen Computer mit Windows Version 1903 nachvollziehen. 

Folglich klickte ich auf diese Windows 10 Popup Meldung im Sidebar Menü um mir weitere Details über das gemeldete Problem ansehen zu können. Dies führte zu diesem Ergebnis: Es wurde die Bedrohung SettingsModifier:Win32/HostsFileHijack erkannt und es wäre höchste Zeit zu handeln, da es sich um eine schwerwiegendes Sicherheitsproblem handelt. 

Windows Defender Meldung

Detaillierte Ansicht der Warnmeldung im Windows Defender

Mit einem Klick auf den Link „Weitere Informationen“ wird man auf diese Informationsseite von Microsoft weitergeleitet: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=SettingsModifier%3aWin32%2fHostsFileHijack&threatid=265754, welche die schwerwiegenden Ausmaße dieses Sicherheitsproblems aus Sicht von Microsoft näher erläutert. 

Letztendlich ist das Problem mit einem Klick auf „Aktionen -> Reparieren“ relativ leicht zu beheben und führt dazu, dass der Windows Defender die originale von Microsoft bereitgestellte HOSTS Datei wiederherstellt. Nach dieser Wiederherstellung sieht die HOSTS Datei wie folgt aus: 

Hosts Datei nach Änderungen durch den Windows Defender

Durch Windows Defender veränderte HOSTS Datei

Es ist zu erkennen, dass die neue HOSTS Datei „AutoGenerated My Microsofts (R) Malware Protection Engine“ ist und wir somit das Problem gelöst haben. 

Ursachenforschung: Microsoft erkennt die Blockierung der Windows Telemetrie Einträge

Nun da das Problem erst einmal behoben ist geht es an die Ursachenforschung, wie es überhaupt zu diesem Problem kommen konnte. Einerseits weiß man in der Regel, wenn man an der HOSTS Datei in der Vergangenheit einmal Veränderungen vorgenommen hat und kann sich daher ggf. einige Ursachen denken. Andererseits kann es auch sein, dass man gar nicht aktiv seine HOSTS Datei verändert hat, sondern die initiale Konfiguration durch den Computer- oder Unternehmens-Administrator eingeführt wurde. In diesen Fällen solltet Ihr Euch mit diesem Problem unbedingt an Euren Administrator wenden! 

Was mir jedoch direkt in meiner ursprünglichen Windows HOSTS Datei aufgefallen ist, dass ich nur die Blockierung der Windows Telemetrie Daten vorgenommen habe. Ansonsten waren keine weiteren Einträge in meiner Windows HOSTS Datei enthalten:

Inhalt der Windows HOSTS Datei vor der Warnmeldung

Inhalt der Windows HOSTS Datei vor der Warnmeldung des Sicherheitsrisikos

Zur Information: Die Windows Telemetrie Daten sind umfangreichere Berichte, die Windows regelmäßig und automatisiert an Microsoft zu Analysezwecken sendet und aus meiner Sicht damit sehr in die Privatsphäre der Nutzer eingreift

Die Blockierung dieser Windows Telemetrie Daten ist kein Sicherheitsrisiko, sondern hilft dabei Privatpersonen und Unternehmen sich und Ihre Privatsphäre vor der Datensammelwut von Microsoft zu schützen. Demzufolge scheint Microsoft mit dem neusten Sicherheitsupdate für Windows 10 die Blockierung der Windows Telemetrie Daten in der HOSTS Datei zu erkennen und meldet daher wie eingangs erläutert das besagte schwerwiegende Sicherheitsproblem. Ich habe deshalb einige Tests durchgeführt und folgende Liste erstellt, mit HOSTS Einträgen, die vom Windows Defender als schädlich erkannt werden: 

0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net
0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net
0.0.0.0 settings-win.data.microsoft.com
0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net
0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net
0.0.0.0 db5.vortex.data.microsoft.com.akadns.net
0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net
0.0.0.0 geo.vortex.data.microsoft.com.akadns.net
0.0.0.0 v10.vortex-win.data.microsoft.com
0.0.0.0 us.vortex-win.data.microsoft.com
0.0.0.0 eu.vortex-win.data.microsoft.com
0.0.0.0 vortex-win-sandbox.data.microsoft.com
0.0.0.0 alpha.telemetry.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com
0.0.0.0 ceuswatcab01.blob.core.windows.net
0.0.0.0 ceuswatcab02.blob.core.windows.net

Die Tests waren mit allen diesen Einträgen positiv und führten die Warnmeldung aktiv herbei.

Fazit

Mit dieser Veränderung an der Heuristik des Windows 10 Defenders hat Microsoft so machen unbedarften Windows User einen ordentlichen Schrecken versetzt. Letztendlich ist die Gefahr bei der reinen Blockierung der Windows Telemetrie Einträge in der HOSTS Datei äußert gering, dass man sich größerem Schaden aussetzt. Jedoch sollte man die Warnmeldung durchaus ernst nehmen und einmal einen Blick in seine bisherige Windows HOSTS Datei werfen, um vielleicht so manchen nicht mehr relevanten Eintrag oder gar Überreste von ehemaligen Vireninfektionen zu beseitigen. 

 

Titelbildquelle: Pixabay