[English]Es hat mal wieder arg "gerappelt". Der Microsoft Defender XDR hat beim Adobe Acrobat Cloud-Links fälschlich als "bösartig" eingestuft. Das hatte und hat zur Folge, dass plötzlich Tausende Adobe-Nutzer mehr als 1.700 sensible Dokumente auf der Online-Plattform AnyRun prüfen ließen. Die Dokumente, die von Freeplan-Nutzern zu AnyRun hochgeladen wurden, waren im Anschluss öffentlich. Kommt bei sensiblen Dokumenten besonders gut, wenn diese öffentlich werden.
Anzeige
Microsoft Defender XDR
Der Microsoft Defender XDR ist eine koordinierte Bedrohungsschutzlösung zum Schutz von Geräten, Identitäten, Daten und Anwendungen. Microsoft schreibt, dass diese XDR-Plattform, Sicherheit für Endpunkte, Hybrididentitäten, E-Mails, Kollaborationstools und Cloud-Apps auf mehreren Plattformen bietet.
Defender XDR false positive und die Folgen
Vor wenigen Stunden scheint der Microsoft Defender XDR ein false positive beim Adobe Acrobat bzw. Adobe Acrobat Cloud-Links ausgelöst zu haben. Das hatte ungeahnte Folgen, wie der Sicherheitsanbieter AnyRun schreibt.
Auf der Plattform AnyRun lassen sich Dokumente online in einer Sandbox öffnen und so auf schädliche Inhalte prüfen. Vor wenigen Stunden sahen die Betreiber von AnyRun einen plötzlichen Anstieg von Adobe Acrobat Cloud-Links, die in die Sandbox von ANYRUN hochgeladen wurden.
Anzeige
Als die Betreiber nachforschten, wurde klar, dass der Microsoft Defender XDR den Cloud-Link acrobat[.]adobe[.]com/id/urn:aaid:sc: fälschlicherweise als bösartig eingestuft hat (false positive). Kann schon mal passieren – alles halb so wild?
Zum Problem wurde dies, weil Benutzer plötzlich auf die Idee kamen, Adobe Acrobat Cloud-Links in die Sandbox von ANYRUN hochzuladen. Konkret gibt ANYRUN an, dass binnen kurzer Zeit mehr als 1.700 sensible Adobe Acrobat-Dokumente zur Analyse in die Sandbox eingestellt wurden.
Das Problem, was durch den "false positive" Alarm von Microsoft Defender XDR verursachte, besteht nun darin, dass die so über Adobe Acrobat Cloud-Links zur Analyse auf ANYRUN hochgeladenen PDF-Dokumente bei Freeplan-Nutzern öffentlich werden. In Folge wurden mehr als tausend Adobe-Dateien mit sensiblen Unternehmensdaten von Hunderten von Unternehmen durch diese Analyse öffentlich.
Die ANYRUN-Betreiber haben reagiert, und alle diese Analysen auf privat gesetzt, um Datenlecks zu verhindern. Allerdings geben die Nutzer weiterhin vertrauliche Adobe-Dokumente über die ANYRUN-Analyse öffentlich frei.
Die ANYRUN-Betreiber geben allen Nutzern den Tipp, für arbeitsbezogene Aufgaben immer eine kommerzielle ANYRUN-Lizenz zu verwenden, um den Datenschutz und die Einhaltung von Vorschriften zu gewährleisten.
Microsoft fixt etwas in Exchange Online
Ergänzung: Die Kollegen von Bleeping Computer berichten im Beitrag Microsoft fixes machine learning bug flagging Adobe emails as spam, dass Microsoft ein Problem behoben habe. Im Advisory EX1061430 im Microsoft 365 Admin Center heißt es, dass Microsoft ein bekanntes Problem in einem seiner Modelle für maschinelles Lernen (ML) behoben habe. Durch das Problem wurden Adobe-E-Mails in Exchange Online fälschlicherweise als Spam eingestuft.
Benutzer hatten ab dem 22. April um 09:24 UTC Probleme beim Zugriff auf Warnungen für Adobe-URLs, während sie gewarnt wurden, dass ein potenziell bösartiger URL-Klick erkannt worden war. Hört sich für mich wie der oben beschriebene Sachverhalt an.
Anzeige
Vertrauliche Dokumente in Adobe Cloud ist doch ne Bedrohung, also alles richtig? Hmm
Bestimmt nen Versehen von Microsoft weil Dokumente nicht in OneDrive liegen. ;-)
Bei denen wundert mich nichts mehr bei den ganzen Pannen und Problemen, aber immerhin gute Quelle damit Blog am Leben bleibt für täglichen Inhalt.