Wenn eurer Antivirus die OpenHardwareMonitor.sys meldet ( oder unser servereye Setup) dann empfehlen wir wie folgt vorzugehen.
Uns wurde weitergegeben, dass die Dritthersteller Schnittstelle OpenHardwareMonitor mit ihrem Treiber WinRing0 eine Sicherheitslücke aufweist. Diese ist real, wenn auch schwer im servereye Kontext auszunutzen. Diese Biblitothek ist wichtig für das Auslesen von Hardware-Temperaturen ( CPU, Mainboard, Lüfter Geschwindigkeit) innerhalb von servereye. Ein Löschen hat also als Impact, dass diese Daten nicht mehr zur Verfügung stehen und Fehler in Sensoren produzieren können.
Wir haben die Lücke im Treiber schnell beheben können, was ein aufwändiger und testreicher Prozess ist da eine Signierung durch Microsoft erfolgen muss, und werden in KW6/7 23 in unserem Client Update H1/23 diese Lücke schließen. In der Beta Phase war der Test bereits erfolgreich.
VOR KW6/7 2023
Es sollte vor der KW6/7 also nach eurem eigenen Ermessen entscheiden werden, ob die Datei auf Kosten der Hardware-Daten gelöscht werden soll. Eine Ausnahme kann sinnvoll sein, zumal durch uns zeitnah eine Lösung erfolgt.
NACH KW6/7 2023
Trotzdem kann es auch sein , dass nach unserem Update weiterhin ältere Dateien auf dem System von eurem AV alarmiert werden. Das kann die OpenHardwareMonitorLib sein, das kann aber auch unser Setup aus dem PackageCache sein.
Wichtig: Die Sicherheitslücke kann nur in Dateien existieren die in Verzeichnissen KLEINER der Versionsnummer 1040 sind. Zum Beispiel: C:\Program Files (x86)\Server-Eye\service\1032\OpenHardwareMonitorLib.sys
Ausnahme: Es wurde ab KW6/7 neu installiert, dann gibt es das Verzeichnis 1 , und die Dateien sind valide.
Datei | Empfehlung ( nur auf Basis dem KW6/7 Update betrachten) |
---|---|
OpenHardwareMonitorLib.sys | In Verzeichnissen < 1040 ( und 1 wenn VOR KW6/7 23 installiert) kann diese einfach gelöscht werden! Die Datei ist nicht aktiv und kann nicht ausgenutzt werden. |
C:\ProgramData\Package Cache\...\ServerEye.msi | Empfehlung einer Ausnahme. Die Datei ist hier nur passiv enthalten und kann nicht ausgenutzt werden. Ein Löschen kann laut Microsoft zu Problemen beim Deinstallieren kommen, da hier natürlich das ursprüngliche Setup gecached wurde. |
C:\Program Files (x86)\Server-Eye\update\ServerEyeUpdate_xxxx.zip | Kann problemlos gelöscht werden, da dies Updater Dateien sind. Im Zweifel würde servereye diese erneut herunterladen. Die Datei ist nicht aktiv und kann nicht ausgenutzt werden. |