Kasperskys Adaptive Kontrolle von Anomalien leicht zu umgehen [Update 3]

Kaspersky Adaptive Kontrolle von Anomalien FAIL

Im aktuellen Kaspersky-Endpoint-Security-Client existiert eine Anomaliekontrolle, mit der man zum Beispiel das Ausführen eines Powershell-Skriptes aus einem Office-Dokument verhindern kann. Diese, theoretisch sehr sinnvolle, Funktion wurde aber aber dermaßen rudimentär implementiert, dass ein Umgehen durch Malware-Autoren sehr wahrscheinlich ist.

Der Hersteller wurde vom Autor über diese Sicherheitslücke informiert. Bis zur Behebung werden daher keine weiteren Details veröffentlicht, nur eines: Diese Funktion erhöht die Sicherheit des Gesamtsystems nur geringfügig. Nicht ersetzt wird damit ein wirksamer Makrofilter am Perimeter.

Betroffen sind Kaspersky Endpoint Security 11.3 und 11.4. Ältere Versionen sind möglicherweise ebenfalls betroffen.

[Update 1] Der Support hat das Problem mittlerweile nach Moskau eskaliert.

[Update 2, 02.02.2021] Kaspersky hat angekündigt, dass ein Update in der zweiten Januarhälfte das Problem beheben soll. Die aktuelle Version 11.5 mit aktuellem Datenbankbestand weist immer noch diesen Fehler auf.

[Update 3, 11.02.2021] Kaspersky hat auf erneute Rückfrage mitgeteilt, dass der Fehler nunmehr am 07.02.2021 beseitigt wurde. Ein Test ergab, dass das tatsächlich so ist.

Zuvor war es durch Kopieren der Powershell.exe in einen anderen Ordner möglich, trotz aktivierter Anomalieerkennung Skripte aus Office-Dokumenten auszuführen.