EDRChoker, Sicherheitslücke

EDRChoker: Sicherheitslücke lähmt Antivirus-Software gezielt

Veröffentlicht: 08.06.2026 um 08:46 Uhr, Redaktion boerse-global.de

Neues Tool EDRChoker nutzt Windows-QoS, um EDR-Agenten durch Bandbreitendrosselung von der Cloud zu trennen.

EDRChoker: Open-Source-Tool legt Sicherheitssoftware lahm
Digital padlock with a broken chain link, overlaid on binary code and network lines, symbolizing a security bypass. Illustration mit AI erstellt übermittelt durch boerse-global.de

Ein neu veröffentlichtes Tool namens EDRChoker entlarvt eine gefährliche Schwachstelle moderner Sicherheitslösungen.

Sicherheitsforscher schlagen Alarm: Am 7. Juni 2026 veröffentlichte ein unter dem Pseudonym @TwoSevenOneT bekannter Entwickler eine Open-Source-Software, die Endpoint-Security-Agenten gezielt von ihren Cloud-Infrastrukturen abschneidet. Das Tool nutzt eine erstaunlich simple Methode – es drosselt die Netzwerkbandbreite der Sicherheitssoftware auf lächerliche 8 Bit pro Sekunde.

Wie die Bandbreiten-Drossel funktioniert

Anzeige: Wer seine Endpoints vor der neuartigen EDRChoker-Methode schützen will, findet in diesem Report die wichtigsten Abwehrmaßnahmen – von QoS-Audit bis PowerShell-Logging. Jetzt kostenlosen Abwehr-Report anfordern

EDRChoker greift auf die Windows Policy-Based Quality of Service (QoS) zurück, ein eigentlich legitimes Verwaltungswerkzeug. Die Software identifiziert die Prozesse von Endpoint Detection and Response (EDR)-Lösungen und begrenzt deren Netzwerkverkehr drastisch.

Die Konsequenz ist verheerend: Ein normaler TLS-Handshake, der für die sichere Verbindung zur Cloud-Management-Konsole nötig ist, benötigt zwischen 3 und 6 Kilobyte Datenübertragung. Bei 8 Bit pro Sekunde scheitert dieser Verbindungsaufbau zwangsläufig. Der Sicherheitsagent verliert den Kontakt zu seiner zentralen Überwachungsplattform – und bleibt blind.

Besonders tückisch: Das Tool arbeitet auf einer Ebene unterhalb der Windows Filtering Platform (WFP). Genau dort, wo viele Sicherheitslösungen den Netzwerkverkehr überwachen. Die Drosselung bleibt für die Security-Software unsichtbar.

Hartnäckig und schwer zu stoppen

Einmal angewendet, bleiben die QoS-Richtlinien selbst nach einem Neustart des Systems aktiv. Die Sicherheitssoftware bleibt dauerhaft "abgewürgt" – sie kann weder Telemetriedaten senden noch Updates vom Cloud-Dienst empfangen.

Erste Tests gegen Elastic Defend zeigten: Die Verbindung brach sofort zusammen. Zwar benötigt das Tool Administratorrechte, doch die Veröffentlichung als Open-Source-Projekt auf GitHub macht es für potenzielle Angreifer leicht zugänglich.

So schützen sich Unternehmen

Anzeige: Angreifer nutzen legitime QoS-Funktionen, um Ihre Sicherheitssoftware gezielt zu lähmen. Dieser Leitfaden zeigt, wie Sie EDRChoker erkennen und Ihre Endpoints wieder vollständig schützen. EDRChoker-Abwehrleitfaden jetzt sichern

Cybersecurity-Experten haben Abwehrmaßnahmen identifiziert. Da EDRChoker auf spezifische Windows-Netzwerkfunktionen setzt, hilft gezielte Überwachung:

  • Regelmäßige Audits aller aktiven QoS-Richtlinien auf Windows-Endgeräten
  • Umfassendes PowerShell-Logging, um Netzwerk-Management-Befehle nachzuverfolgen
  • Spezifische Überwachung des Befehls New-NetQosPolicy – ein klares Indiz für den Angriff

Der Fall EDRChoker offenbart ein grundlegendes Problem: Legitime Systemverwaltungsfunktionen wie QoS lassen sich missbrauchen, um Sicherheitstelemetrie gezielt zu blockieren. Für Unternehmen bedeutet das: Sie müssen nicht nur auf Angriffe von außen achten, sondern auch auf Manipulationen innerhalb ihrer eigenen Systeme.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69498500 |