Разкриха уязвимост в Windows Defender, позволяваща безпроблемното проникване на зловреден код
Изследователи по осведомителна сигурност към CyberArk Labs са потвърдили съществуването на незнайна до момента накърнимост в Windows , чието експлоатиране разрешава доставянето и осъществяването на добре прочут злотворен код към Windows 8.1 и 10 без реакция на Windows Defender. Методът евентуално работи и с други антивирусни стратегии, означават експертите, въпреки и да не са провеждали такива проби. Над 480 000 000 системи, разчитащи на Windows Defender са уязвими към казуса.
Проблемът се крие в метода, по който Windows Defender сканира споделените SMB масиви . Експлойтът, създаден от компанията, с цел да потвърдят съществуването на казуса „ подлъгва “ програмата за отбрана да сканира друг файл от този, съдържащ злотворен код и бива изпълнен на системата. Атакуващата страна може да извърши към този момент позната и засичана зловредна стратегия необезпокоявано посредством SMB сървър. „ Представете си обстановка, в която изпълнявате файл и Windows го зарежда, само че антивирусната стратегия сканира различен файл или дори не сканира нищо “, изясняват от CyberArk.
От Microsoft признават за съществуването на уязвимостта , само че споделят, че експлоатирането ѝ е мъчно, защото атакуващата страна би трябвало да придобие първо надзор над вътрешен сървър. „ Бъде ли сторено, Windows Defender Antivirus и Windows Defender Advanced Threat Protection ще могат да засекат последващите дейности на нападателя “, споделят на собствен ред Microsoft.
От CyberArk изясняват, че Windows Defender би трябвало да третира зареждането на процеси от SMB масив по същия метод, по който би се зареждал и от локалните дискове. Само че компанията разкрила, че защитната стратегия употребява различен път за осъществяване на код и неточно справяне с неточности за файлове, зареждащи се от SMB.
Методът, по който CyberArk потвърждават съществуването на казуса е бил посредством слагането на слагането на SMB сървър и основаването на псевдосървър за разграничение на поръчките, отправяни от Windows Defender и тези, които идват от другит процеси на Windows. Чрез сполучливото манипулиране на отговорите на тези поръчки експертите съумяват и да подлъжат програмата да пропусне зловредния файл.
Проблемът се крие в метода, по който Windows Defender сканира споделените SMB масиви . Експлойтът, създаден от компанията, с цел да потвърдят съществуването на казуса „ подлъгва “ програмата за отбрана да сканира друг файл от този, съдържащ злотворен код и бива изпълнен на системата. Атакуващата страна може да извърши към този момент позната и засичана зловредна стратегия необезпокоявано посредством SMB сървър. „ Представете си обстановка, в която изпълнявате файл и Windows го зарежда, само че антивирусната стратегия сканира различен файл или дори не сканира нищо “, изясняват от CyberArk.
От Microsoft признават за съществуването на уязвимостта , само че споделят, че експлоатирането ѝ е мъчно, защото атакуващата страна би трябвало да придобие първо надзор над вътрешен сървър. „ Бъде ли сторено, Windows Defender Antivirus и Windows Defender Advanced Threat Protection ще могат да засекат последващите дейности на нападателя “, споделят на собствен ред Microsoft.
От CyberArk изясняват, че Windows Defender би трябвало да третира зареждането на процеси от SMB масив по същия метод, по който би се зареждал и от локалните дискове. Само че компанията разкрила, че защитната стратегия употребява различен път за осъществяване на код и неточно справяне с неточности за файлове, зареждащи се от SMB.
Методът, по който CyberArk потвърждават съществуването на казуса е бил посредством слагането на слагането на SMB сървър и основаването на псевдосървър за разграничение на поръчките, отправяни от Windows Defender и тези, които идват от другит процеси на Windows. Чрез сполучливото манипулиране на отговорите на тези поръчки експертите съумяват и да подлъжат програмата да пропусне зловредния файл.
Източник: kaldata.com
КОМЕНТАРИ