{"id":310918,"date":"2025-04-24T23:53:30","date_gmt":"2025-04-24T21:53:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=310918"},"modified":"2025-04-25T13:11:38","modified_gmt":"2025-04-25T11:11:38","slug":"microsoft-defender-xdr-stuft-adobe-acrobat-cloud-links-als-boesartig-ein-folge-war-dass-sensible-dokument-oeffentlich-wurden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/04\/24\/microsoft-defender-xdr-stuft-adobe-acrobat-cloud-links-als-boesartig-ein-folge-war-dass-sensible-dokument-oeffentlich-wurden\/","title":{"rendered":"Microsoft Defender XDR stuft Adobe Acrobat Cloud-Links als \"b\u00f6sartig\" ein &#8211; Folge war, dass sensible Dokument \u00f6ffentlich wurden"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Stop - Pixabay\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" alt=\"Stop - Pixabay\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/04\/25\/microsoft-defender-xdr-classifies-adobe-acrobat-cloud-links-as-malicious-resulting-in-sensitive-documents-becoming-public\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Es hat mal wieder arg \"gerappelt\". Der Microsoft Defender XDR hat beim Adobe Acrobat Cloud-Links f\u00e4lschlich als \"b\u00f6sartig\" eingestuft. Das hatte und hat zur Folge, dass pl\u00f6tzlich Tausende Adobe-Nutzer mehr als 1.700 sensible Dokumente auf der Online-Plattform AnyRun pr\u00fcfen lie\u00dfen. Die Dokumente, die von Freeplan-Nutzern zu AnyRun hochgeladen wurden, waren im Anschluss \u00f6ffentlich. Kommt bei sensiblen Dokumenten besonders gut, wenn diese \u00f6ffentlich werden.<\/p>\n<p><!--more--><\/p>\n<h2>Microsoft Defender XDR<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/32980f7a4f214ae2955fb40a5e1d0571\" alt=\"\" width=\"1\" height=\"1\" \/>Der <em>Microsoft Defender XDR<\/em> ist eine koordinierte Bedrohungsschutzl\u00f6sung zum Schutz von Ger\u00e4ten, Identit\u00e4ten, Daten und Anwendungen. Microsoft schreibt, dass diese XDR-Plattform, Sicherheit f\u00fcr Endpunkte, Hybrididentit\u00e4ten, E-Mails, Kollaborationstools und Cloud-Apps auf mehreren Plattformen bietet.<\/p>\n<h2>Defender XDR false positive und die Folgen<\/h2>\n<p>Vor wenigen Stunden scheint der\u00a0Microsoft Defender XDR ein false positive beim Adobe Acrobat bzw. Adobe Acrobat Cloud-Links ausgel\u00f6st zu haben. Das hatte ungeahnte Folgen, wie der Sicherheitsanbieter AnyRun <a href=\"https:\/\/x.com\/anyrun_app\/status\/1915429758516560190\" target=\"_blank\" rel=\"noopener\">schreibt<\/a>.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/g0cVtKGs\/image.png\" alt=\"AnyRun Warning: Defender XDR false positive on Adobe Reader\" width=\"590\" height=\"692\" \/><\/p>\n<p>Auf der Plattform AnyRun lassen sich Dokumente online in einer Sandbox \u00f6ffnen und so auf sch\u00e4dliche Inhalte pr\u00fcfen. Vor wenigen Stunden\u00a0sahen die Betreiber von AnyRun einen pl\u00f6tzlichen Anstieg von Adobe Acrobat Cloud-Links, die in die Sandbox von ANYRUN hochgeladen wurden.<\/p>\n<p>Als die Betreiber nachforschten, wurde klar, dass der Microsoft Defender XDR den Cloud-Link <em>acrobat[.]adobe[.]com\/id\/urn:aaid:sc:<\/em> f\u00e4lschlicherweise als b\u00f6sartig eingestuft hat (false positive). Kann schon mal passieren &#8211; alles halb so wild?<\/p>\n<p>Zum Problem wurde dies, weil Benutzer pl\u00f6tzlich auf die Idee kamen, Adobe Acrobat Cloud-Links in die Sandbox von ANYRUN hochzuladen. Konkret gibt ANYRUN an, dass binnen kurzer Zeit mehr als 1.700 sensible Adobe Acrobat-Dokumente zur Analyse in die Sandbox eingestellt wurden.<\/p>\n<h2>Warum das durch Benutzer zum Problem wurde<\/h2>\n<p>Das Problem, was durch den \"false positive\" Alarm von Microsoft Defender XDR indirekt verursachte, besteht nun darin, dass die so \u00fcber Adobe Acrobat Cloud-Links zur Analyse von Nutzern auf ANYRUN hochgeladenen PDF-Dokumente bei ANYRUN Freeplan-Nutzern \u00f6ffentlich werden. In Folge wurden mehr als tausend Adobe-Dateien mit sensiblen Unternehmensdaten von Hunderten von Unternehmen durch diese Analyse \u00f6ffentlich.<\/p>\n<p>Die ANYRUN-Betreiber haben reagiert, und alle diese Analysen auf privat gesetzt, um Datenlecks zu verhindern. Allerdings geben die Nutzer weiterhin vertrauliche Adobe-Dokumente \u00fcber die ANYRUN-Analyse \u00f6ffentlich frei.<\/p>\n<p>Die ANYRUN-Betreiber geben allen Nutzern den Tipp, f\u00fcr arbeitsbezogene Aufgaben immer eine kommerzielle ANYRUN-Lizenz zu verwenden, um den Datenschutz und die Einhaltung von Vorschriften zu gew\u00e4hrleisten.<\/p>\n<blockquote><p><strong>Hinweis:<\/strong> Sofern Nutzer aus Europa solche Adobe Cloud-Links in ANYRUN pr\u00fcfen lie\u00dfen und dadurch (Adobe Acrobat) Dokumente mit pers\u00f6nlichen Daten hochgeladen wurden, w\u00e4re dies ein anzeigepflichtiger DSGVO-Vorfall.<\/p><\/blockquote>\n<h2>Microsoft fixt etwas in Exchange Online<\/h2>\n<p>Erg\u00e4nzung: Die Kollegen von Bleeping Computer berichten im Beitrag\u00a0<a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/microsoft-fixes-machine-learning-bug-flagging-adobe-emails-as-spam\/\">Microsoft fixes machine learning bug flagging Adobe emails as spam<\/a>, dass Microsoft ein Problem behoben habe. Im Advisory EX1061430 im Microsoft 365 Admin Center hei\u00dft es, dass Microsoft ein bekanntes Problem in einem seiner Modelle f\u00fcr maschinelles Lernen (ML) behoben habe. Durch das Problem wurden Adobe-E-Mails in Exchange Online f\u00e4lschlicherweise als Spam eingestuft.<\/p>\n<p>Benutzer hatten ab dem 22. April um 09:24 UTC Probleme beim Zugriff auf Warnungen f\u00fcr Adobe-URLs, w\u00e4hrend sie gewarnt wurden, dass ein potenziell b\u00f6sartiger URL-Klick erkannt worden war. H\u00f6rt sich f\u00fcr mich wie der oben beschriebene Sachverhalt an.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Es hat mal wieder arg \"gerappelt\". Der Microsoft Defender XDR hat beim Adobe Acrobat Cloud-Links f\u00e4lschlich als \"b\u00f6sartig\" eingestuft. Das hatte und hat zur Folge, dass pl\u00f6tzlich Tausende Adobe-Nutzer mehr als 1.700 sensible Dokumente auf der Online-Plattform AnyRun pr\u00fcfen lie\u00dfen. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/04\/24\/microsoft-defender-xdr-stuft-adobe-acrobat-cloud-links-als-boesartig-ein-folge-war-dass-sensible-dokument-oeffentlich-wurden\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,161],"tags":[4053,8574,4313],"class_list":["post-310918","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-virenschutz","tag-adobe-acrobat","tag-defender-xdr","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=310918"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310918\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=310918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=310918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=310918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}