Windows Apps öffnen Fake-Webseiten mit angeblichen Gewinnspielen oder angeblichen Virenproblemen

Question

Aktuell tritt es vermehrt auf, dass beim Starten oder der Nutzung von Apps auf Windows 10 bösartige Werbebanner aufgerufen werden, die Betrugs-Webseiten im Standard-Browser öffnen.

Diese Webseiten versprechen entweder Gewinne in einem Gewinnspiel oder drohen damit, dass der PC mit Viren verseucht sei. Beides ist Unsinn. 

**Es handelt sich nicht um lokale Schadsoftware auf dem PC!**Demzufolge ist es nicht notwendig, irgendwelche Tools zum Scannen zu installieren oder gar das System neu zu installieren.

Solange man die Fenster einfach schließt, ohne eventuelle Fragen zum Starten von Scans oder zum Abholen von Gewinnen zu bestätigen, ist die Sache folgenlos. Die Apps binden Werbebanner über externe Werbenetzwerke ein. Über diese werden offenbar neben normalen Werbeanzeigen auch immer wieder betrügerische Banner ausgeliefert. Offenbar haben die Betreiber dieser Werbenetzwerke ihre Auslieferungen weiterhin nicht im Griff. Auch im Webbrowser tauchen immer mal wieder solche Dinge auf. Dort lassen sie sich immerhin durch den Einsatz eines Adblockers blockieren.

Die entspechenden Webseiten sollten über den Browser als Betrugsseite gemeldet werden. Manche davon werden aktuell schon vom Windows SmartScreen Filter als bösartig eingestuft. Bis das Problem auf Serverseite behoben wurde, sollten die entsprechenden Apps einfach nicht genutzt werden.

Wer die Möglichkeit hat, z.B. über einen zentralen Adblocker im Netzwerk wie ein Pihole, Werbung auf DNS-Ebene zu blocken, sollte folgende Seiten blocken:

*.adnxs.com

*.nuxues.com

*.vungle.com

Dies sind zumindest aktuell einige der Werbenetzwerke, die die Apps aufrufen. 

Update 03.06.:

1. offizielle Statements im Namen von Microsoft können nur Microsoft Mitarbeiter abgeben. Ich bin kein Microsoft Mitarbeiter, daher ist dies auch kein offizielles Statement von Microsoft, sondern nur ein Beitrag eines aktiven Freiwilligen in einem Community-Forum. Nicht dass außer Heise das noch jemand in den falschen Hals bekommt... ;-) 
2. offenbar scheint die Problematik behoben worden zu sein. Zumindest sind über den Tag hier keine weiteren Massen von Anfragen im Forum eingetroffen. Eine offizielle Aussage zu dem Thema gibt es von Microsoft allerdings weiterhin nicht.

Answer 1

Hallo Ingo,

ich hatte dieses Problem bereits am 27. April hier im Forum gemeldet und damals in meinem Beitrag dazu bereits eine Antwort von dir erhalten. Danke nochmal dafür :)

Microsoft hatte mich damals gebeten, meine öffentlichen Beiträge zu dem Thema zu löschen.

Link zum Beitrag vom 27.04 (mit dem Versuch diesen zu löschen): https://answers.microsoft.com/de-de/windows/forum/apps_windows_10-win_news/achtung-microsoft-windows-10-apps-%C3%B6ffnen/185f0528-9897-48e6-8b85-2d2a48315eca?tm=1556319207597

Ich hatte dieses Problem damals (am 29.04.) dem Microsoft Security Response Center gemeldet (https://msrc.microsoft.com/).

Die offizielle Antwort war die folgende (vom 08.05.):

We can’t reproduce this one, likely because the malicious ad has already been removed. But going by the Youtube video, this allows an attacker to get a website to pop up on the victim’s machine in their default browser with zero user interaction. The News app that this attack is launched from is AppContainer.

Although this behavior is not ideal, it would still require the attacker to exploit an additional bug in order to do something meaningful to the victim. They would need something like a browser RCE to gain code execution or some XSS attack to steal information. In the PoC video, the malicious website that pops up attempts to social engineer the victim into downloading and running a malicious executable.

Because this bug alone is not enough for a full attack, unfortunately, the report doesn't meet the bar for servicing with a hotfix and will proceed with closing out the case.

Nachdem das Problem immer wiederkehrend ist, hatte ich den entsprechenden Mitarbeiter nochmal darauf angesprochen.

Folgende Antwort (vom 31.05.):

Even though it doesn't meet the bar we did open vNext bugs for your report. Hopefully the product team will service the issue in the near future.

Das ist alles was ich dazu aktuell hab.

Answer 2

Vielen Dank für die Information... 

Ich kann mir auch nicht vorstellen, das sich Microsoft zu irgent etwas 

offiziell Stellung nimmt. Die verdienen an den Leuten was das Zeug hält, aber lassen ihre USER 

auf der anderen Seite bei Problemen im Regen stehen....

Ich hatte heute bei der Nutzung von MSN Nachrichten erneut die Virenwarnung und habe abermals mit meinem Notebook

Hersteller telefoniert. Der Kundendienst bei DELL funktioniert unglaublich gut und reibungslos.

Die hatten sich auf meinen Rechner mittels einer speziellen Software ein gelinkt und das Problem bei der MSN Seite geortet.

Die schlugen mir auch vor. die MWSN Seite nicht mehr zu benutzen.

Microsoft ist einfach ein Kackverein.... 

Danke für die Hilfe 

MfG

Answer 3

Ach ja Ingo,

eins will ich noch loswerden....

Deine Stellungname war klasse. 

Die anderen Beiträge zum totlachen....

die haben es nicht verstanden.....

;-)

Answer 4

Bei mir tritt das im Edge auf der Seite mit "empfohlenem Inhalt", wenn ich eine News öffne.

Mit Chrome auf gleicher MSN Nachrichten Seite passiert es nicht. Es ist definitiv ein Edge (Microsoft) Problem.

Liegt nicht an Windows Installation, müsste gerade Win10 Pro neu installieren und habe gleich getestet, als Edge 

automatisch gestartet hat, beim Anklicken von News im Edge kommt dieses Mist...

Nachtrag am 06.06.19: Microsoft ist träge, was Problem Behebung betrifft, deshalb eine schnelle Lösung ist hier nicht zu erwarten, 

selbst melden der Website als gefährlich bringt erstmal gar nichts, es popt immer wieder fleißig auf. 

Eine Lösung habe ich für die, die trotz allem beim Edge bleiben wollen, ich habe über Edge Erweiterungen "Nano Adblocker" installiert, seit dem habe ich Ruhe und kann ungestört Nachrichten lesen.