EDRChoker: Sicherheitslücke lähmt Antivirus-Software gezielt

Neues Tool EDRChoker nutzt Windows-QoS, um EDR-Agenten durch Bandbreitendrosselung von der Cloud zu trennen.

Ein neu veröffentlichtes Tool namens EDRChoker entlarvt eine gefährliche Schwachstelle moderner Sicherheitslösungen.

Sicherheitsforscher schlagen Alarm: Am 7. Juni 2026 veröffentlichte ein unter dem Pseudonym @TwoSevenOneT bekannter Entwickler eine Open-Source-Software, die Endpoint-Security-Agenten gezielt von ihren Cloud-Infrastrukturen abschneidet. Das Tool nutzt eine erstaunlich simple Methode – es drosselt die Netzwerkbandbreite der Sicherheitssoftware auf lächerliche 8 Bit pro Sekunde.

Wie die Bandbreiten-Drossel funktioniert

Anzeige: Wer seine Endpoints vor der neuartigen EDRChoker-Methode schützen will, findet in diesem Report die wichtigsten Abwehrmaßnahmen – von QoS-Audit bis PowerShell-Logging. Jetzt kostenlosen Abwehr-Report anfordern

EDRChoker greift auf die Windows Policy-Based Quality of Service (QoS) zurück, ein eigentlich legitimes Verwaltungswerkzeug. Die Software identifiziert die Prozesse von Endpoint Detection and Response (EDR)-Lösungen und begrenzt deren Netzwerkverkehr drastisch.

Die Konsequenz ist verheerend: Ein normaler TLS-Handshake, der für die sichere Verbindung zur Cloud-Management-Konsole nötig ist, benötigt zwischen 3 und 6 Kilobyte Datenübertragung. Bei 8 Bit pro Sekunde scheitert dieser Verbindungsaufbau zwangsläufig. Der Sicherheitsagent verliert den Kontakt zu seiner zentralen Überwachungsplattform – und bleibt blind.

Besonders tückisch: Das Tool arbeitet auf einer Ebene unterhalb der Windows Filtering Platform (WFP). Genau dort, wo viele Sicherheitslösungen den Netzwerkverkehr überwachen. Die Drosselung bleibt für die Security-Software unsichtbar.

Hartnäckig und schwer zu stoppen

Einmal angewendet, bleiben die QoS-Richtlinien selbst nach einem Neustart des Systems aktiv. Die Sicherheitssoftware bleibt dauerhaft "abgewürgt" – sie kann weder Telemetriedaten senden noch Updates vom Cloud-Dienst empfangen.

Erste Tests gegen Elastic Defend zeigten: Die Verbindung brach sofort zusammen. Zwar benötigt das Tool Administratorrechte, doch die Veröffentlichung als Open-Source-Projekt auf GitHub macht es für potenzielle Angreifer leicht zugänglich.

So schützen sich Unternehmen

Anzeige: Angreifer nutzen legitime QoS-Funktionen, um Ihre Sicherheitssoftware gezielt zu lähmen. Dieser Leitfaden zeigt, wie Sie EDRChoker erkennen und Ihre Endpoints wieder vollständig schützen. EDRChoker-Abwehrleitfaden jetzt sichern

Cybersecurity-Experten haben Abwehrmaßnahmen identifiziert. Da EDRChoker auf spezifische Windows-Netzwerkfunktionen setzt, hilft gezielte Überwachung:

• Regelmäßige Audits aller aktiven QoS-Richtlinien auf Windows-Endgeräten
• Umfassendes PowerShell-Logging, um Netzwerk-Management-Befehle nachzuverfolgen
• Spezifische Überwachung des Befehls New-NetQosPolicy – ein klares Indiz für den Angriff

Der Fall EDRChoker offenbart ein grundlegendes Problem: Legitime Systemverwaltungsfunktionen wie QoS lassen sich missbrauchen, um Sicherheitstelemetrie gezielt zu blockieren. Für Unternehmen bedeutet das: Sie müssen nicht nur auf Angriffe von außen achten, sondern auch auf Manipulationen innerhalb ihrer eigenen Systeme.

de | wissenschaft | 69498500 |