Istraživanje ANY.RUN identifikovalo je veliki događaj curenja podataka koji je pokrenuo lažno pozitivan rezultat u Microsoft Defender XDR. Sigurnosna platforma je pogrešno označila benigne datoteke kao maliciozne, što je dovelo do njihovog automatskog podnošenja u javni sandbox ANY.RUN na analizu. Kao rezultat toga, preko 1.700 osjetljivih dokumenata je postavljeno i javno indeksirano.
Curenje, koje je uključivalo korporativne podatke iz stotina kompanija, izazvalo je uzbunu zbog rizika od pogrešne klasifikacije u sistemima za otkrivanje prijetnji i neželjenih posljedica ponašanja korisnika kao odgovora na takve greške.
Incident je počeo kada je Microsoft Defender XDR, široko korišćena napredna platforma za zaštitu od prijetnji, greškom označila legitimne Adobe Acrobat Cloud veze, posebno URL-ove koji počinju sa acrobat[.]adobe[.]com/id/urn:aaid:sc:—kao zlonamjerne.
Prema izvještaju ANYRUN-a koji je podijeljen sa Cyber Security News, ova greška je izazvala iznenadni priliv Adobe Acrobat Cloud linkova koji su učitani u njihov sandbox radi analize.
Mnoga od ovih otpremanja pokrenuli su korisnici na ANYRUN-ovom besplatnom planu, koji je podrazumijevano postavljen na način javnog dijeljenja, nehotice izlažući osjetljive korporativne dokumente širem internetu.
ANYRUN-ova istraga je otkrila da je lažno pozitivan rezultat naveo korisnike besplatnog plana da uploaduju više od 1700 Adobe datoteka koje sadrže povjerljive podatke, što je uticalo na stotine organizacija.
Izloženi dokumenti uključivali su širok spektar osjetljivih informacija, izazivajući zabrinutost u vezi sa potencijalnim kršenjem podataka i zloupotrebom vlasničkih korporativnih informacija.
Kao odgovor, ANYRUN je brzo krenuo u ublažavanje štete pretvaranjem svih povezanih analiza u privatni način rada, sprječavajući dalje izlaganje javnosti. Međutim, kompanija je istakla da su neki korisnici nastavili da javno postavljaju poverljive dokumente, što je pogoršalo problem.
“Vidjeli smo iznenadni priliv Adobe Acrobat Cloud linkova koji su otpremljeni u ANYRUN-ov sandbox prije nekoliko sati.” “Da bismo spriječili curenje informacija, sve ove analize činimo privatnim, ali korisnici nastavljaju javno dijeliti povjerljive dokumente. Uvijek koristite komercijalnu licencu za poslove vezane za posao kako biste osigurali privatnost i usklađenost.”
Kao što je navedeno u web izvještaju PUPUWEB-a od 24. aprila 2025., lažno pozitivni rezultati mogu narušiti povjerenje u sisteme za otkrivanje i dovesti do značajnih sigurnosnih rizika ako se ne riješe na vrijeme.
U ovom slučaju, pogrešna klasifikacija od strane Microsoft Defender XDR-a navela je korisnike da preduzmu radnje koje su nenamjerno otkrile osjetljive podatke, naglašavajući potrebu za preciznim otkrivanjem prijetnji kako bi se spriječili takvi kaskadni efekti.
U izvještaju se također savjetuje korisnicima koji su naišli na lažno pozitivne rezultate u Microsoft Defender XDR-u da ih pošalju Microsoftu na analizu i rješavanje, korak koji bi mogao pomoći u sprečavanju sličnih incidenata u budućnosti.
Curenje podataka ANYRUN-a također je povezano s tekućim diskusijama o evoluirajućem pejzažu sajber prijetnji, posebno u okruženjima u oblaku.
Samo dan ranije, 23. aprila 2025., stručnjak za sajber sigurnost Florian Roth (@cyb3rops) objavio je na X o tome kako napadači sve više zaobilaze tradicionalne krajnje tačke kako bi ciljali platforme u oblaku kao što su Microsoft 365, Google Workspace i AWS.
Roth je primijetio da okruženja u oblaku često pate od ograničenog evidentiranja, nedostatka robusnih mehanizama za otkrivanje i slijepih uglova koji ih čine privlačnim metama za napadače.
Incident ANYRUN služi kao oštar podsjetnik na to kako greške u sigurnosnim alatima vezanim za oblak mogu pojačati ove ranjivosti, što dovodi do neželjenih posljedica kao što je široko rasprostranjeno izlaganje podataka.
Incident je pokrenuo obnovljene pozive organizacijama da usvoje sigurnije prakse pri rukovanju osjetljivim podacima, posebno u okruženjima zasnovanim na oblaku.
Uz to, događaj naglašava potrebu za alatima za sajber sigurnost kako bi se uravnotežila osjetljivost i preciznost kako bi se izbjegli lažni pozitivni rezultati koji mogu dovesti do značajne kolateralne štete.
Izvor: CyberSecurity News
