Web Club

WithSecure hat die Client Security für Mac 16.02 freigegeben. Behoben ist ein Problem, durch das die Produktinitialisierung unter Umständen fehlschlug.

WithSecure hat den Policy Manager 16.03 freigegeben.

• Policy Manager 16.03 für Windows und Linux
• Policy Manager Proxy 16.03 für Windows und Linux

Diese Version enthält verschiedene Verbesserungen und Fehlerkorrekturen. U.A. wurden zwei kleinere Sicherheitlücken geschlossen, die besonders auf öffentlich erreichbaren Policy Manager Servern oder Policy Manager Proxys geschlossen werden sollten: CVE-2024-22262, CVE-2024-38809

Das Elements-Portal soll sich stärker an den Aufgaben der Admins ausrichten, als an den einzelnen Schutzprodukten.

Nach dem Zusammenwachsen der Verwaltung von Endpoint Protection und Endpoint Detection & Response wurde jetzt das Vulnerability Management besser integriert.

Neu strukturiert werden besonders das Navigations-Menu und die Dashboards ("Start"). Die eigentlichen Inhalte bleiben größtenteils wie gewohnt.

Später im Jahr wird das Vulnerability Management erweitert und in Exposure Management umbenannt.

Wo finden sich jetzt die einzelnen Seiten zum Vulnerability Management? Eine Übersicht ist in der WithSecure Community: Upcoming changes to Navigation in Elements Security Center

WithSecure hat Client Security 16.01 und Server Security 16.01 freigegeben.

• Client Security 16.01 Premium und Standard
• Server Security 16.01 Premium und Standard

Diese Verionen enthalten den Cumulative-Hotfix "WSBS1600-HF-CUMULATIVE01".

perComp empfiehlt, diese Versionen nach dem üblichen Vorgehen zu installieren und produktiv zu nutzen.

WithSecure plant für den 24. September ein größeres Update der Capricorn-Scannning-Engine.

Der Download ist ca. 42 MB anstelle der üblichen ca. 5 MB größ.

Betroffen sind alle Schutzprodukte auf Windows-, Mac- und Linux-Plattformen, die diese Engine einsetzen: Elements Endpoint Protection, Client Security Windows/Mac, Server Security, Linux Security etc.

Weitere Informationen in der WithSecure Community: Major Capricorn update for Endpoint Protection

Am 30. September läuft für folgende Versionen die Unterstützung durch WithSecure aus.
Am 31. Dezember wird die Schutzwirkung dieser Versionen abgeschaltet.

• Policy Manager 15 und älter
• Client Security 15 und älter
• Server Security 15 und älter
• E-Mail und Server Security 15 und älter

Diese Versionen müssen auf die Version 16 aktualisiert werden.

Aktuell sind:

• Policy Manager 16.02
• Client Security 16.00
• Server Security 16.00
• E-Mail und Server Security 16.00

Zu Client Security 16.00 und Server Security 16.00 steht für diverse seltene Fehlerfälle ein kumulativer Hotfix bereit.

In den nächsten Tagen wird die Freigabe von Client Security 16.01 und Server Security 16.01 erwartet, die auch den kumulativen Hotfix enthalten.

Nachtrag 25.09.2024: Client Security 16.01 und Server Security 16.01 wurden freigegeben.

Jede Installation braucht Verbindungen zu den WithSecure-Servern bzw. F-Secure-Servern:

*.f-secure.com (noch bis Ende 2024)
*.fsapi.com
*.withsecure.com

Nicht nur Client Security, Server Security und Endpoint Protection brauchen diese Verbindungen, auch alle anderen wie Atlant oder Policy Manager.

Fehlen diese Verbindungen, sind die Schutzwirkung und teilweise die Performance beeinträchtigt.

Weitere Informationen:

• Knowledge Base: Verbindung über das Internet
• Community: Network addresses for WithSecure on-premise products

WithSecure EDR erhält von AV-Test die Approved Advanced Endpoint Detection and Response-Zertifizierung, die es als zuverlässige und effektive Lösung im Bereich der Cybersicherheit auszeichnet.

WithSecure hat die Client Security für Mac 16.00 freigegeben. Enthalten ist u.A. Unterstützung für macOS 14 Sonoma.

Die Version 16 ersetzt die Version 15, die zum 30.09.2024 abgekündigt ist.

WithSecure hat den Policy Manager 16.02 und die E-Mail & Server Security 16.00 freigegeben.

• Policy Manager 16.02 für Windows und Linux
• Policy Manager Proxy 16.02 für Windows und Linux
• E-Mail und Server Security 16.00 Premium und Standard

Der Policy Manager 16.02 enthält verschiedene Verbesserungen und eine breitere Linux-Unterstützung.

Die E-Mail und Server Security 16.00 unterstützt aktuelle Exchange-CUs und enthält weitere Verbesserungen. Sie ersetzt die Version 15, die zum 30.09.2024 abgekündigt ist.

Aktualisierte Versionen von Client Security und Server Security werden für Anfang Juli erwartet.

perComp empfiehlt, die oben genannten Versionen nach dem üblichen Vorgehen zu installieren und produktiv zu nutzen.

Beachten Sie dabei auch unsere Hinweise zu den 16er-Versionen.

Ab heute rollt WithSecure automatisch eine neue Version für Android aus, die ab sofort mit einer Streuung von wenigen Tagen auf den Geräten ankommen soll.

Diese Version enthält einen reputationsbasierten Netzwerk-Schutz. Dafür wird auf jedem Gerät ein lokales Netzwerk-Gateway installiert, durch das Verbindungen umgeleitet werden und je nach Einschätzung der Ziel-URL durch die Security-Cloud blockiert werden.

Ab dem 22. April 2024 wird Multi-Faktor-Authentifizierung (MFA) zur Anmeldung am Elements-Portal verbindlich vorausgesetzt.

Weitere Informationen hierzu finden Sie in unserer Knowledge Base.

Ab dem 26. März 2024 rollt WithSecure eine neue Version der Mobile Protection für Android und iOS aus.

In dieser Version wird das Freedome-VPN durch einen reputationsbasierten Schutz abgelöst. Unter iOS funktioniert das wie erwartet, aber bisher nicht unter Android. Daher startet die neue Android-Version ohne diesen Schutz und wird baldmöglichst automatisch nachgerüstet. Alle anderen Schutzfunktionen arbeiten unter Android genau wie unter iOS ordnungsgemäß.

Nach der Client/Server Security 16 soll Anfang März 2024 auch die Endpoint Protection neue IDs für die Browserschutz-Erweiterungen für Chrome, Firefox und Edge erhalten.

Falls die Erweiterungen in den Browsern über die GPO aktiviert werden, sollten dort auch die neuen IDs angegeben werden.

perComp emfiehlt: Stellen Sie über die Gruppenrichtlinie sicher, dass die Browserschutz-Erweiterungen immer aktiv sind.

Unser Anwendertreffen findet am 3. und 4. Juni 2024 in Rotenburg an der Fulda statt.

Das Elements-Portal soll sich zukünftig stärker an den Aufgaben der Admins ausrichten, als an den einzelnen Schutzprodukten.

Zuerst wachsen die Verwaltung von Endpoint Protection und Endpoint Detection & Response weiter zusammen. Später im Jahr sollen weitere Schutzprodukte wie das Vulnerability Management besser integriert werden.

Neu strukturiert werden besonders das Navigations-Menu und die Dashboards (neu: "Start"). Die eigentlichen Inhalte bleiben größtenteils wie gewohnt.

Als Gold-Support-Kunde brauchen Sie den neuen Menu-Punkt "Sicherheitsservices" normalerweise nicht, solange Sie uns kontaktieren können.

Die ersten sichtbaren Änderungen sind ab 30. Januar 2024 gegen 11:00 Uhr sichtbar.

Weitere Infos: WithSecure Community Changes to the Elements Security Center - 30 January 2024

WithSecure rollt am 25.02.2024 automatisch eine neuere Version des Elements Agents aus.

Mit dieser neuen Version werden Geräte, auf denen das ACS nicht zur Verfügung steht,
nicht mehr geschützt.

Betroffene Produkte:

• Elements Endpoint Protection
• Elements Endpoint Detection & Response

perComp empfiehlt: Lesen Sie unsere Artikel im Web Club vom 03.03.2023, 09.05.2023 und 13.12.2023.

Weitere Informationen:

• WithSecure Community: Changes in support on Microsoft Windows – Minimum patch level.

Folgende Meldungen treten seit dem 04.12.2023 im Policy Manager auf:

Der Computer ist erst geschützt, nachdem er neu gestartet wurde.

F-Secure Client Security hat ein wichtiges Update erhalten. Starten Sie den Computer neu, um den Schutz wieder einzuschalten.

Im Elements-Portal zeigen betroffene Geräte im Malware-Schutz den Status "Fehlfunktion".

Diese Meldungen sollten nicht ignoriert werden und deuten darauf hin, dass der Anti-Virus wichtige, sicherheitsrelevante Engine-Updates nicht installieren kann.

Ein einfacher Neustart hilft in dieser Situaltion nicht. Es fehlen grundlegende Microsoft-Patches. Details hierzu finden Sie weiter unten: 09.05.2023 notwendige Windows-Updates und Zertifikate

WithSecure hat heute den verbesserten Policy Manager 16.01 freigegeben.

• Policy Manager 16.01 für Windows und Linux
• Policy Manager Proxy 16.01 für Windows und Linux

perComp empfiehlt, die Versionen 16.00 und 16.01 ausschließlich in Testumgebungen zum Testen und Kennenlernen der Funktionen zu installieren.

WithSecure hat am 29.09.2023 diese Versionen freigegeben:

• Policy Manager 16.00 für Windows und Linux
• Policy Manager Proxy 16.00 für Windows und Linux
• Client Security 16.00 Premium und Standard
• Server Security 16.00 Premium und Standard

Der Policy Manager Server unterstützt Windows Server 2012 R2, 2016, 2019 und 2022 sowie diverse Linuxe. Neu ist unter Anderem der Ultimate Mode zur besseren Unterstützung von Endpoints ohne Zugang zum Internet.

Die Client Security 16 unterstützt Windows 10 und 11. Diverse Neuerungen sind enthalten, beispielsweise eine verbesserte Windows-Firewall-Unterstützung. Die Browser-Schutz-Plugins haben neue Extension-IDs erhalten.

Die Server Security 16 unterstützt Windows Server 2012 R2, 2016, 2019 und 2022 und enthält die selben Neuerungen wie die Client Security.

Die E-Mail und Server Security 16 steht noch nicht zur Verfügung, soll aber demnächst folgen.

Einschränkungen:

• Der Policy Manager unterstützt keine Endpoints Version 13 oder älter.
• Die Installation der Policy Manager Console erfordert Kommandozeilen-Parameter.
• Die Aktualisierung des Policy Managers aus Nicht-Standard-Pfaden wird nicht unterstützt.
• EDR unterstützen Client Security und Server Security noch nicht. Die Unterstützung wird voraussichtlich noch im Oktober über die automatischen Updates ausgerollt.

perComp empfiehlt, die Hinweise zur Version 16 zu beachten und die Versionen 16.00 und 16.01 ausschließlich in Testumgebungen zum Testen und Kennenlernen der Funktionen zu installieren.

Die neuen Keycodes erhalten Sie bei Ihrem Support.

Abkündigungen

Mit dem Erscheinen der Version 16 ist die Unterstützung der folgenden Versionen zum 30.09.2024 abgekündigt:

• Policy Manager 15
• Client Security 15
• Server Security 15
• E-Mail und Server Security 15

perComp empfiehlt, nach Absprache mit dem perComp-Support im Q1 oder Q2 2024 auf die Version 16 zu aktualisieren.

Schulungen zur Version 16

Ein Präsenztraining findet vom 11. bis 13. März 2024 in Hamburg statt, individuelle Remote-Schulungen auf Nachfrage.

Die Freigabe von macOS 14 Sonoma ist für den 26.09.2023 angekündigt.

Diese Version wird noch nicht vollständig von den WithSecure-Schutzprodukten unterstützt.

WithSecure empfiehlt, das Update auf macOS 14 zu verschieben, bis die vollständige Unterstützung durch die Schutzprodukte implementiert ist. Falls das Update nicht verschoben werden kann, stehen teilweise Workarounds zur Verfügung.

Weitere Infos bei WithSecure: WithSecure products and macOS 14 "Sonoma"

Programm-Updates und Neuinstallationen können nur noch durchgeführt werden, wenn die Windows-Installation "Azure Code Signing" (ACS) unterstützt.

Auch automatische Programm-Updates sind betroffen, beispielsweise Ultralight-Core-Udates, die über den Automatic Update Agent heruntergeladen und installiert werden.

Als Fehlerbild treten u.A. solche Alarme auf:

Ein Update konnte nicht installiert werden.
Das folgende Update konnte nicht installiert werden: F-Secure Ultralight Core (64-bit) 2023-05-09_01 (F-Secure Client Security).

Ein Update konnte nicht installiert werden.
Das folgende Update konnte nicht installiert werden: F-Secure Ultralight Core (64-bit) 2023-06-12_01 (F-Secure Client Security).

Nach einem misslungenen Ultralight-Core-Update ist weiterhin der alte Ultralight-Core in Betieb, so dass weiterhin der bisherige Schutz besteht.

Betroffene Produkte:

• Endpoint Protection
• Endpoint Detection & Response
• Countercept
• Client Security
• Server Security
• E-Mail und Server Security

• Windows 11
• Windows 10 22H2
• Windows 10 21H2

Ältere Windows-Versionen und alle Windows Server einschließlich 2022 benötigen für Azure Code Signing ein Windows-Update aus dem Jahr 2021. Eine Beschreibung liefert Microsoft KB5022661.

Zusätzlich wird das Root-Zertifikat Microsoft Identity Verification Root Certificate Authority 2020 benötigt. Normalerweise lädt Windows es automatisch herunter.

Bei Offline-Systemen (isolierten Systemen) müssen Patches und Zertifikate eventuell manuell installiert werden.

perComp empfiehlt:

1. installieren Sie im Fehlerfall die nötigen Patches
2. starten Sie die betroffenen Geräte neu
3. die Installation des fehlenden Ultralight-Core-Udate wird bei Einsatz von Client Security oder Server Security über den Policy Manager und den CS 15.30 Hotfix 11 (!) neu angestoßen

Weitere Informationen:

• WithSecure Community: Changes in support on Microsoft Windows – Minimum patch level.
• Microsoft PKI Repository
• Microsoft KB5022661—Windows support for the Azure Code Signing program

Artikel-Historie: 
03.03.2023  erster Artikel im Web Club
09.05.2023  zweiter Artikel im Web Club
20.06.2023  Ergänzungen und Empfehlung im zweiten Artikel

WithSecure hat das Security Advisory CVE-2023-NNN (wird nachgetragen) und den "F-Secure Policy Manager 15.30 Hotfix 7" für Windows und Linux veröffentlicht.

Alle Versionen des Policy Manager Servers enthalten eine RCE-Schwachstelle (Remote Code Execution), die aus der Ferne ohne Authentifizierung ausgenutzt werden kann. WithSecure stuft das Risiko als hoch ein.

Betroffen sind:

•     Policy Manager Server, alle Versionen
•     Policy Manager Proxy, alle Versionen
•     Policy Manager Server Linux, alle Versionen
•     Policy Manager Proxy Linux, alle Versionen

Der Elements Connector ist nicht betroffen.

Exploits oder Angriffe wurden nicht beobachtet.

Mit dem Hotfix 7 wird diese Schwachstelle behoben. Er steht ausschließlich für Policy Manager Server 15.30 und Policy Manager Proxy 15.30 zur Verfügung und enthält auch die früher veröffentlichten Hotfixes 3, 4, 5 und 6.

perComp empfiehlt:

• Installieren Sie diesen Hotfix zuerst auf den Policy Manager Servern, die direkt aus dem Internet erreichbar sind.
• Aktualisieren Sie vor der Installation des Hotfixes Ihre Policy Manager auf die Version 15.30.

WithSecure hat die Web-Seite mit den End-of-Life Daten der Business Suite bisher noch nicht überarbeitet und gibt daher teilweise zu frühe Termine an. Betroffen sind Policy Manager, Client Security, Server Security und E-Mail und Server Security.

Generell sagt WithSecure zu:

1. Jede Hauptversion wird mindestens 3 Jahre ab Erscheinen unterstützt.
2. Jede Hauptversion wird mindestens 1 Jahr nach Erscheinen der nachfolgenden Hauptversion unterstützt.

Mit "Hauptversion" ist z.B. die Client Security 15 gemeint, mit "Nebenversion" z.B. die Client Security 15.30.

Beispielsweise ist die Hauptversion 15 der Client Security mit der Nebenversion 15.00 am 10. August 2020 erschienen. Somit kann nach der 1. Regel die Unterstützung nicht vor dem 10. August 2023 auslaufen.
Da aber die nächste Hauptversion 16 noch nicht veröffentlicht ist, muss nach der 2. Regel die Hauptversion 15 mindestens bis Ende März 2024 unterstützt werden.

Das gleiche gilt für Policy Manager 15, Client Security 15, Server Security 15 und E-Mail und Server Security 15: Unterstützung mindestens bis Ende März 2024

Für Hofixes gilt:

• Sicherheits-Hotfixes werden für jede Nebenversion einer unterstützten Hauptversion zur Verfügung gestellt.
• Weitere Hotfixes, die nicht sicherheitsrelevant sind, werden für die aktuellste Nebenversion einer unterstützten Hauptversion zur Verfügung gestellt.
• Ausnahme Policy Manager: Für den Policy Manager werden auch Sicherheits-Hotfixes nur für die aktuellste Nebenversion einer unterstützten Hauptversion zur Verfügung gestellt.

Beispielsweise für die Client Security: Für alle 15er-Versionen werden Sicherheits-Hotfixes zur Verfügung gestellt, aber nur für die 15.30 weitere Hotfixes.

Ausnahme Policy Manager: Hier werden zur Zeit nur für den Policy Manager 15.30 Hotfixes bereitgestellt.

perComp empfiehlt:

• Aktualisieren Sie ihre Installationen auf die neueste Version (z.B. 15.30).
• Installieren Sie auf dem Policy Manager Server den PM Hotfix 5.

Das Computer Emergency Response Team Rheinland-Pfalz warnt am 10.03.2023: "Emotet ist zurück mit neuen TTPs"

Über E-Mail werden ZIP-Anhänge oder Links auf ZIP-Downloads verbreitet, die sehr große Office-Dokument enthalten und dadurch Anti-Virus-Programme überlisten sollen.

WithSecure erkennt solche ZIP-Archive seit Langem als Mail Bomb.

Word sollte so konfiguriert sein, dass es keine Makros aus unbekannten Quellen ausführt.

Falls doch Makros ausgeführt werden, sollten neben dem Echtzeit-Scan auch AMSI-Scanner und DeepGuard unabhängig von der Dateigröße die Installation von Emotet verhindern.

Weitere Informationen: Bleeping Computer Emotet malware attacks return after three-month break

Ab dem 9. März werden im Elements Vulnerability Management Schwachstellen nicht mehr nach CVSSv2 (Common Vulnerability Scoring System) bewertet, sondern nach dem aktuellen CVSSv3.1.

Dadurch ergeben sich auch bei unveränderter Lage sowohl im Dashboard als auch in Datail-Ansichten leicht veränderte Einschätzungen von Sicherheitslücken.

Weitere Informationen:

• WithSecure Community: Elements Vulnerability Management introduces new scoring system – CVSSv3

Für einen höheren Schutz gegen Manipulation (Tamper Protection) und durch den Ablauf eines älteren F-Secure-Zertifikates können ab heute nur noch Programm-Updates und Neuinstallationen durchgeführt werden, wenn die Windows-Installation "Azure Code Signing" (ACS) unterstützt. Auch automatische Updates können betroffen sein.

Betroffene Produkte:

• Endpoint Protection
• Endpoint Detection & Response
• Countercept
• Client Security
• Server Security
• E-Mail und Server Security

• Windows 11
• Windows 10 22H2
• Windows 10 21H2

Ältere Windows-Versionen und alle Windows Server einschließlich 2022 benötigen für Azure Code Signing ein Windows-Update aus dem Jahr 2021. Eine Beschreibung liefert Microsoft KB5022661.

Das Root-Zertifikat Microsoft Identity Verification Root Certificate Authority 2020 wird zusätzlich benötigt. Normalerweise lädt Windows es automatisch herunter. Bei Offline-Systemen muss es eventuell manuell installiert werden.

Weitere Informationen:

• WithSecure Community: Changes in support on Microsoft Windows – Minimum patch level.
• Microsoft PKI Repository
• Microsoft KB5022661—Windows support for the Azure Code Signing program

Der Microsoft-Support für Windows 7 und Windows Server 2008 R2 ist am 14.01.2020 ausgelaufen. Seitdem gibt es z.B. keine Betriebssystem-Updates mehr.

WithSecure unterstützt Windows 7 und Server 2008 R2 bis zum 30.06.2023.

perComp empfiehlt: Legen Sie Ihre betroffenen Windows-Installationen so bald wie möglich still. Wenn dies nicht möglich ist, setzen Sie sich mit Ihrem Support in Verbindung.

Weitere Informationen: WithSecure Community.

WithSecure hat das Security Advisory CVE-2023-XXX (wird nachgetragen) und den "F-Secure Policy Manager 15.30 Hotfix 5" für Windows und Linux veröffentlicht betreffend CVE-2022-42889 und CVE-2023-XXX (wird nachgetragen).

Alle Versionen des Policy Manager Servers ohne Hotfix enthalten XSS-Schwachstellen (Reflected Cross-Site Scripting). Der Policy Manager Proxy ist nicht betroffen.

Exploits oder Angriffe wurden nicht beobachtet.

Mit dem Hotfix 5 werden diese Schwachstellen behoben. Er steht ausschließlich für den Policy Manager 15.30 zur Verfügung und enthält auch die früher veröffentlichten Hotfixes 3 und 4.

perComp empfiehlt:

• Installieren Sie diesen Hotfix zuerst auf den Policy Manager Servern, die direkt aus dem Internet erreichbar sind.
• Aktualisieren Sie vor der Installation des Hotfixes Ihre Policy Manager auf die Version 15.30.

WithSecure hat die Elements Endpoint Protection 22.9 ausgerollt. Neue Features:

• Serverfreigabe-Schutz verhindert bösartige Veränderungen auf freigegebenen Verzeichnissen
• Systemereignis-Erkennung alarmiert bei sicherheitsrelevanten Einträgen in der Ereignisanzeige (Premium-Feature)