{"id":4210,"date":"2025-08-01T09:16:26","date_gmt":"2025-08-01T09:16:26","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4210"},"modified":"2025-08-01T09:16:26","modified_gmt":"2025-08-01T09:16:26","slug":"wie-edr-edr-aushebelt","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4210","title":{"rendered":"Wie EDR EDR aushebelt"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Legitime Security-Tools gegeneinander auszuspielen, er\u00f6ffnet Cyberkriminellen diverse Vorteile.\n

Tero Vesalainen | shutterstock.com<\/p>\n<\/div>\n

Cybersicherheitsforscher haben einen unheilvollen neuen Angriffsvektor entdeckt. Dabei k\u00f6nnten Angreifer kostenlose Testversionen von Endpoint Detection and Response (EDR)-Software<\/a> dazu missbrauchen, vorhandene Sicherheits-Tools zu deaktivieren. Die Researcher Ezra Woods und Mike Manrod haben das Ph\u00e4nomen entdeckt und dokumentiert, das sie als \u201cEDR-on-EDR Violence\u201d bezeichnen. Ihre Erkenntnisse haben die Sicherheitsexperten in einem Beitrag auf Medium<\/a> ver\u00f6ffentlicht.<\/p>\n

\u201cZusammenfassend l\u00e4sst sich sagen, dass EDR\/AV-Produkte dazu verwendet werden k\u00f6nnen, vorhandene Tools zu deaktivieren oder zu blockieren, Devices fernzusteuern. Oder, wie wir in einem Fall festgestellt haben, sogar die gesamte Festplatte zu verschl\u00fcsseln\u201d, konstatieren die Forscher. Der neu entdeckte Angriffsvektor mit ironischem Nachgeschmack macht sich eine wenig hinterfragte Grundannahme im Security-Bereich zunutze. N\u00e4mlich, dass legitime Security-Tools<\/a> stets vertrauensw\u00fcrdig sind.\u00a0<\/p>\n

EDR killt EDR?<\/h2>\n

Laut den Forschern k\u00f6nnten Angreifer kostenlose Testversionen von EDR-Produkten mit lokalen Administratorrechten auf kompromittierten Systemen installieren und diese dann so konfigurieren, dass sie vorhandene Sicherheits-Tools blockieren. Im Rahmen ihrer Untersuchungen konnten Woods und Manrod auf diese Art und Weise Cisco Secure Endpoint, CrowdStrike Falcon und Elastic Defend erfolgreich deaktivieren. Und zwar ohne dabei Warnmeldungen<\/a> oder Telemetriedaten von den angegriffenen Systemen zu generieren: Die so kompromittierten Endpunkte erschienen einfach als offline, wie dem Medium-Beitrag zu entnehmen ist. Die Software, die f\u00fcr den Angriff missbraucht wird, verf\u00fcgt dabei \u00fcber g\u00fcltige digitale Zertifikate und wird als legitim erkannt \u2013 ist also nur schwer von tats\u00e4chlich autorisierten Installationen zu unterscheiden. In der Unternehmenspraxis w\u00fcrden Security-Teams mit hoher Wahrscheinlichkeit nicht erkennen, dass die Schutzma\u00dfnahmen absichtlich sabotiert wurden.<\/p>\n

\u201cDas l\u00e4sst sich bewerkstelligen, indem Exclusions entfernt werden und dann der Hash des existierenden AV\/EDR-Produkts zur Liste blockierter Anwendungen hinzugef\u00fcgt wird\u201d, erkl\u00e4ren die Forscher in ihrer Analyse. EDR-Produkte mit Remote-Monitoring- und -Management-Funktionalit\u00e4ten er\u00f6ffneten laut Woods und Manrod ein besonders breites Spektrum an Missbrauchsm\u00f6glichkeiten. So war es den Forschern etwa im Zusammenspiel mit dem EDR-Produkt von ESET m\u00f6glich, eine kompromittierte Instanz zu installieren und dar\u00fcber die Festplatte des Zielsystems vollst\u00e4ndig zu verschl\u00fcsseln<\/a>.<\/p>\n

\u201cWas diesen Angriffsvektor so interessant macht, ist, dass er zumindest einige Produkte deaktivieren kann, selbst wenn der Manipulationsschutz aktiviert ist\u201d, schreiben die Forscher. Sie weisen darauf hin, dass der Angriff zwar lokale Administratorrechte erfordere \u2013 im Vergleich zu herk\u00f6mmlichen EDR-Umgehungstechniken wie BYOVD (Bring Your Own Vulnerable Driver<\/a>) oder DLL-Unhooking<\/a> stelle er jedoch einen weniger komplexen Ansatz dar.<\/p>\n

Unternehmen, die sich gegen diesen Angriffsvektor absichern m\u00f6chten, raten die Sicherheitsforscher dazu:<\/p>\n

L\u00f6sungen zur Anwendungskontrollle einzusetzen, um die Installation nicht autorisierter Sicherheitssoftware zu blockieren,<\/p>\n

benutzerdefinierte Angriffsindikatoren zu implementieren, um verd\u00e4chtige EDR-Installationen zu erkennen, und<\/p>\n

\u201cApplication-aware\u201d Firewalls und Secure Web Gateways<\/a> zu nutzen, um den Zugriff auf nicht autorisierte Portale von Sicherheitsanbietern zu verhindern.<\/p>\n

Woods und Manrod teilen in ihrem Medium-Beitrag auch eine detaillierte Anleitung, um Sicherheitsteams und -experten zu erm\u00f6glichen, ihre Erkenntnisse zu replizieren, zu testen und den Angriffsvektor besser zu durchdringen. Dabei empfehlen sie, kontrollierte Tests mit isolierten Systemen durchzuf\u00fchren. (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Legitime Security-Tools gegeneinander auszuspielen, er\u00f6ffnet Cyberkriminellen diverse Vorteile. Tero Vesalainen | shutterstock.com Cybersicherheitsforscher haben einen unheilvollen neuen Angriffsvektor entdeckt. Dabei k\u00f6nnten Angreifer kostenlose Testversionen von Endpoint Detection and Response (EDR)-Software dazu missbrauchen, vorhandene Sicherheits-Tools zu deaktivieren. Die Researcher Ezra Woods und Mike Manrod haben das Ph\u00e4nomen entdeckt und dokumentiert, das sie als \u201cEDR-on-EDR Violence\u201d bezeichnen. […]<\/p>\n","protected":false},"author":0,"featured_media":4211,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4210","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4210"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4210"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4210\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4211"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}