Разкриха уязвимост в Windows Defender, позволяваща безпроблемното проникване на зловреден код

Изследователи по информационна сигурност към CyberArk Labs са доказали наличието на неизвестна досега уязвимост в Windows, чието експлоатиране позволява доставянето и изпълнението на добре известен зловреден код към Windows 8.1 и 10 без реакция на Windows Defender. Методът вероятно работи и с други антивирусни програми, отбелязват специалистите, макар и да не са провеждали такива тестове. Над 480 000 000 системи, разчитащи на Windows Defender са уязвими към проблема.

Проблемът се крие в начина, по който Windows Defender сканира споделените SMB масиви. Експлойтът, разработен от компанията, за да докажат наличието на проблема „подлъгва“ програмата за защита да сканира различен файл от този, съдържащ зловреден код и бива изпълнен на системата. Атакуващата страна може да изпълни вече позната и засичана зловредна програма необезпокоявано чрез SMB сървър. „Представете си ситуация, в която изпълнявате файл и Windows го зарежда, но антивирусната програма сканира друг файл или даже не сканира нищо“, обясняват от CyberArk.

От Microsoft признават за наличието на уязвимостта, но споделят, че експлоатирането ? е трудно, тъй като атакуващата страна трябва да придобие първо контрол над вътрешен сървър. „Бъде ли сторено, Windows Defender Antivirus и Windows Defender Advanced Threat Protection ще могат да засекат последващите действия на нападателя“, споделят на свой ред Microsoft.

От CyberArk обясняват, че Windows Defender би трябвало да третира зареждането на процеси от SMB масив по същия начин, по който би се зареждал и от локалните дискове. Само че компанията открила, че защитната програма използва друг път за изпълнение на код и некоректно справяне с грешки за файлове, зареждащи се от SMB.

Методът, по който CyberArk доказват наличието на проблема е бил чрез поставянето на поставянето на SMB сървър и създаването на псевдосървър за разграничаване на заявките, отправяни от Windows Defender и тези, които идват от другит процеси на Windows. Чрез успешното манипулиране на отговорите на тези заявки специалистите успяват и да подлъжат програмата да пропусне зловредния файл.