Schwachstellen in Microsoft Defender und Kaspersky EDR ermöglichen Dateilöschung aus der Ferne

Forscher von SafeBreach haben Schwachstellen in Sicherheitsprodukten von Microsoft und Kaspersky entdeckt, die es ermöglichen, Dateien aus der Ferne zu löschen. Die Schwachstellen betreffen Microsoft Defender und Kasperskys Endpoint Detection and Response (EDR). Beide Programme verwenden Byte-Signaturen, um Malware zu erkennen. Die Forscher haben eine Methode entwickelt, um Falsch-Positive-Indikatoren für schädliche Dateien zu erzeugen und diese dann von EDR löschen zu lassen. Dies könnte dazu führen, dass Datenbanken oder virtuelle Maschinen aus der Ferne gelöscht werden. Das Löschen der Dateien durch EDR kann nach Angaben der Forscher nicht rückgängig gemacht werden. Die genauen Auswirkungen dieser Schwachstellen sind noch unbekannt, da die Forscher aus Angst vor den möglichen Folgen keine umfassenden Tests durchgeführt haben.

Byte-Signaturen sind eindeutige Sequenzen von Bytes in Dateien. Die Forscher haben eine Methode entwickelt, um diese Signaturen in legitime Dateien einzufügen und EDR dazu zu bringen, diese Dateien als infiziert zu erkennen. Wenn EDR so konfiguriert ist, dass infizierte Dateien gelöscht werden, kann dies dazu führen, dass ganze Datenbanken oder virtuelle Maschinen remote gelöscht werden.

https://www.theregister.com/2024/04/22/edr_attack_remote_data_deletion

Autor