Kompatibilitätsprobleme durch Code Injection Protection in WatchGuard Endpoint Security

Comment

Dieses Problem betrifft WatchGuard EPP, EDR, EDR Core, EPDR und Advanced EPDR. Es wurde mit Hotfix WGUA-2746 behoben. Betroffen sind Endpoint Security-Schutzversionen ab v8.00.23.xxxx.

Der Anti-Exploit-Schutz der WatchGuard Endpoint Security-Produkte umfasst Code Injection Protection, die speziell dazu entwickelt wurde, Angriffe abzuwehren, bei denen schädlicher Code in laufende Prozesse eingeschleust wird. Code Injection Protection bietet folgende Vorteile:

  • Erkennung von Versuchen, schädlichen Code in aktive Prozesse einzuschleusen
  • Schutz der Vertraulichkeit und Verfügbarkeit von Anwendungen
  • Vorbeugung gegen Manipulationen am Datenfluss innerhalb von Prozessen

Mit der Version v8.00.23.xxxx der Endpoint Security Protection wurde die Überwachung aller laufenden Prozesse noch intensiver. Dieses tiefere Scanning kann allerdings zu Performance- und Kompatibilitätsproblemen bei bestimmten Programmen führen. In diesem Artikel beleuchten wir, was dahintersteckt und wie betroffene Nutzer vorgehen können.

Welche Anwendungen sind betroffen?

Nach interner Analyse und Nutzerfeedback wurden insbesondere folgende Programme genannt, bei denen es zu Problemen kam:

  • Lightspeed
  • AutoCAD
  • Docker

Diese Inkompatibilitäten wurden am 31. Oktober 2024 durch Hotfix WGUA-2746 und aktualisierte Signaturdateien behoben.

Wie können Nutzer das Problem lösen?

1. Automatische Knowledge Updates aktivieren

Eine der einfachsten Maßnahmen: Aktivieren Sie automatische Updates für „Knowledge Updates“ (Signaturdateien), damit alle Hotfixes und Verbesserungen schnell eingespielt werden. Im Help Center finden Sie dazu eine Anleitung unter >> Configure Automatic Knowledge (Signature File) Updates.

2. Vorübergehende Lösung: Ausschluss definieren

Falls dennoch Probleme auftreten, können betroffene Anwendungen temporär von der Code Injection Protection ausgeschlossen werden:

  1. Gehen Sie in WatchGuard Cloud zu Configure > Endpoints.
  2. Wählen Sie Settings > Workstations and Servers.
  3. Öffnen Sie den Bereich Advanced Protection.
  4. Deaktivieren Sie den Code Injection-Schalter.
  5. Starten Sie die betroffene Anwendung und überprüfen Sie, ob sie funktioniert. Wenn die Anwendung ausgeführt werden kann, aktivieren Sie den Code-Injection-Schalter erneut.
  6. Fügen Sie im Feld „Code-Injection-Exclusions“ die betroffene Anwendung hinzu. Weitere Informationen finden Sie im Help Center unter >> Configure Anti-Exploit Protection.
  7. Für eine dauerhafte Lösung kontaktieren Sie den WatchGuard-Support und eröffnen Sie ein Support-Ticket. Beschreiben Sie das Problem mit der Anwendung mit Code-Injection-Schutz, damit WatchGuard möglicherweise spezielle Anpassungen bereitstellen kann.

Wichtiger Hinweis: Wir empfehlen dringend, den Code-Injection-Schutz nicht deaktiviert zu lassen, da er alle Prozesse beeinträchtigt, einschließlich Exploit-Erkennung und Code-Injection, erweiterte IOAs und erweiterte Sicherheitsrichtlinien, die von PowerShell verwendet werden. Eine Ausschlussregel sollte also immer nur eine kurzfristige Maßnahme sein.

Fazit

Die Code Injection Protection ist ein wichtiges Sicherheitsfeature, kann aber in Einzelfällen zu Störungen führen. WatchGuard arbeitet kontinuierlich daran, Kompatibilitätsprobleme zu minimieren, ohne den hohen Sicherheitsstandard zu gefährden. Nutzer sollten automatische Updates nutzen, temporäre Ausschlüsse sorgfältig einsetzen und bei Bedarf den Support kontaktieren. Sicherheit und Stabilität lassen sich so bestmöglich in Einklang bringen.

Weiterführende Links

Hinterlasse eine Nachricht

Deine E-Mail-Adressse wird nicht veröffentlicht. Markierte Felder sind Pflichtfelder *