[English]Es hat mal wieder arg "gerappelt". Der Microsoft Defender XDR hat beim Adobe Acrobat Cloud-Links fälschlich als "bösartig" eingestuft. Das hatte und hat zur Folge, dass plötzlich Tausende Adobe-Nutzer mehr als 1.700 sensible Dokumente auf der Online-Plattform AnyRun prüfen ließen. Die Dokumente, die von Freeplan-Nutzern zu AnyRun hochgeladen wurden, waren im Anschluss öffentlich. Kommt bei sensiblen Dokumenten besonders gut, wenn diese öffentlich werden.
Anzeige
Microsoft Defender XDR
Der Microsoft Defender XDR ist eine koordinierte Bedrohungsschutzlösung zum Schutz von Geräten, Identitäten, Daten und Anwendungen. Microsoft schreibt, dass diese XDR-Plattform, Sicherheit für Endpunkte, Hybrididentitäten, E-Mails, Kollaborationstools und Cloud-Apps auf mehreren Plattformen bietet.
Defender XDR false positive und die Folgen
Vor wenigen Stunden scheint der Microsoft Defender XDR ein false positive beim Adobe Acrobat bzw. Adobe Acrobat Cloud-Links ausgelöst zu haben. Das hatte ungeahnte Folgen, wie der Sicherheitsanbieter AnyRun schreibt.
Auf der Plattform AnyRun lassen sich Dokumente online in einer Sandbox öffnen und so auf schädliche Inhalte prüfen. Vor wenigen Stunden sahen die Betreiber von AnyRun einen plötzlichen Anstieg von Adobe Acrobat Cloud-Links, die in die Sandbox von ANYRUN hochgeladen wurden.
Anzeige
Als die Betreiber nachforschten, wurde klar, dass der Microsoft Defender XDR den Cloud-Link acrobat[.]adobe[.]com/id/urn:aaid:sc: fälschlicherweise als bösartig eingestuft hat (false positive). Kann schon mal passieren – alles halb so wild?
Zum Problem wurde dies, weil Benutzer plötzlich auf die Idee kamen, Adobe Acrobat Cloud-Links in die Sandbox von ANYRUN hochzuladen. Konkret gibt ANYRUN an, dass binnen kurzer Zeit mehr als 1.700 sensible Adobe Acrobat-Dokumente zur Analyse in die Sandbox eingestellt wurden.
Warum das durch Benutzer zum Problem wurde
Das Problem, was durch den "false positive" Alarm von Microsoft Defender XDR indirekt verursachte, besteht nun darin, dass die so über Adobe Acrobat Cloud-Links zur Analyse von Nutzern auf ANYRUN hochgeladenen PDF-Dokumente bei ANYRUN Freeplan-Nutzern öffentlich werden. In Folge wurden mehr als tausend Adobe-Dateien mit sensiblen Unternehmensdaten von Hunderten von Unternehmen durch diese Analyse öffentlich.
Die ANYRUN-Betreiber haben reagiert, und alle diese Analysen auf privat gesetzt, um Datenlecks zu verhindern. Allerdings geben die Nutzer weiterhin vertrauliche Adobe-Dokumente über die ANYRUN-Analyse öffentlich frei.
Die ANYRUN-Betreiber geben allen Nutzern den Tipp, für arbeitsbezogene Aufgaben immer eine kommerzielle ANYRUN-Lizenz zu verwenden, um den Datenschutz und die Einhaltung von Vorschriften zu gewährleisten.
Hinweis: Sofern Nutzer aus Europa solche Adobe Cloud-Links in ANYRUN prüfen ließen und dadurch (Adobe Acrobat) Dokumente mit persönlichen Daten hochgeladen wurden, wäre dies ein anzeigepflichtiger DSGVO-Vorfall.
Microsoft fixt etwas in Exchange Online
Ergänzung: Die Kollegen von Bleeping Computer berichten im Beitrag Microsoft fixes machine learning bug flagging Adobe emails as spam, dass Microsoft ein Problem behoben habe. Im Advisory EX1061430 im Microsoft 365 Admin Center heißt es, dass Microsoft ein bekanntes Problem in einem seiner Modelle für maschinelles Lernen (ML) behoben habe. Durch das Problem wurden Adobe-E-Mails in Exchange Online fälschlicherweise als Spam eingestuft.
Benutzer hatten ab dem 22. April um 09:24 UTC Probleme beim Zugriff auf Warnungen für Adobe-URLs, während sie gewarnt wurden, dass ein potenziell bösartiger URL-Klick erkannt worden war. Hört sich für mich wie der oben beschriebene Sachverhalt an.
Anzeige
Vertrauliche Dokumente in Adobe Cloud ist doch ne Bedrohung, also alles richtig? Hmm
Bestimmt nen Versehen von Microsoft weil Dokumente nicht in OneDrive liegen. ;-)
Bei denen wundert mich nichts mehr bei den ganzen Pannen und Problemen, aber immerhin gute Quelle damit Blog am Leben bleibt für täglichen Inhalt.
Naja ist schon shice so ein Fehlalarm, aber die sensiblen Dokumente hochgeladen haben ja die User… oder hat der Defender diese automatisch zur Analyse einmgereicht? Ich denke nicht!
Tja man sollte halt schon wissen was man nutzt und was dabei passiert! Ist ja nicht so das diese Verhalten bei Anyrun Freepaln nicht kommuniziert und unbekannt ist.
Das war mal wieder ein massenhaftes Versagen der Userintelligenz. Wie es heutzutage ja üblich ist.
Die Dummheit der User kann man ja schwerlich einer Firma anlasten. (weder MS noch Anyrun)
Tja die Menschheit geht vor die Hunde…
Hier kann ich Microsoft Defender verstehen. Wir beobachten derzeit eine starke Zunahme von Phishing-Attacken, bei denen sich der eigentliche Phishing-Link in einem PDF innerhalb der Adobe Acrobat Cloud befindet.
So sieht man zunächst einen vertrauenswürdigen Link in der Mail, aber wenn man das PDF aus der Adobe Acrobat Cloud öffnet, findet man darin einen Link zu einem Fake- Entra- ID- Login.
Aus diesem Grund öffnen wir derzeit sehr viele dieser Adobe Acrobat Cloud Links in einer Sandbox. Allerdings in einer eigenen und nicht bei einem Drittanbieter.
Kritisch ist vielmehr, dass die Überprüfung / Validierung der verdächtigen Links bei einem Drittanbieter erfolgt und somit eine Kopie der Datei das Unternehmen verlässt.
Der letzte Satz ist der Grund, warum ich das Ganze hier eingestellt habe.
Das ist ja aber kein Defender XDR Problem, sondern ein DAU Problem!
Was kann MS dafür das User Ihre schützenswerten Dateien exposen?
Null! False Positives gibt es immer mal.
Mitarbeiter die vertrauliche Daten an Dritte weiterreichen (wissentlich oder unwissentlich) gehören abgemahnt… bis hin zur Kündigung im Wiederholungsfall!
Hätte die Defender XDR diese Daten automatisiert zur Überprüfung an Dienste Dritter hochgeladen, dann wäre die Meldung legitim…
So wird die Dummheit der User als MS Fehler angelastet… nicht sehr professionell!
Ist aber ja leider mittlerweile übliches Vorgehen: User ist strunzdumm Firma xy ist Schuld!
Kommentar lesen und verstehen hülfe …?
An der Stelle möchte ich als Tipp daran erinnern dass auch Dokumente etc. welche man bei Virustotal hochlädt ggf. anderen Personen zugänglich sind. Ich glaube das ist manchen Anwendern dieses grundsätzlich sehr hilfreichen Dienstes oft nicht bewusst.
Da stimme ich vollends zu, Dito !
Ich meine mich zu erinnern, daß es bezüglich des Services von Virustotal mal einen Artikel bei Heise c't gab, wo genau auf diesen Sachverhalt hingewiesen wurde.
Richtig und schlimmer noch: Virustotal ist seit 07.09.2012 im Besitz von Gogle (Wikipedia für die Schnellübersicht).
Und damit seit dem gestorben.