Поиск по сайту:
[о слонах] ...и луконских волов, змееруких и видом ужасных (Лукреций).

Серьезный недостаток безопасности Защитника Windows может стереть ваши файлы и приложения

29.04.2024
Серьезный недостаток безопасности Защитника Windows может стереть ваши файлы и приложения

Исследователи обнаружили серьезные недостатки в продуктах безопасности Microsoft и «Лаборатории Касперского». Они утверждают, что Защитника Windows можно обманом заставить удалить базы данных. Хуже того, эксплойт можно активировать удаленно и, возможно, позволить злоумышленникам удалять файлы и приложения издалека. Действительно жутко.

Как впервые сообщил The Register, компания по кибербезопасности SafeBreach обсудила свои выводы во время конференции Black Hat Asia в Сингапуре. Команда утверждает, что дыра может оставаться доступной для использования, даже если оба поставщика заявят, что исправили проблему.

Вице-президент SafeBreach по исследованиям безопасности Томер Бар и исследователь безопасности Шмуэль Коэн обнаружили, что и Защитником Windows, и системой обнаружения и реагирования конечных точек (EDR) Касперского можно манипулировать для обнаружения «поддельных» вредоносных файлов. Эти файлы затем можно использовать для воздействия на всю базу данных и ее удаления.

Атака основана на том факте, что обе компании используют байтовые подписи для обнаружения вредоносного ПО. Байтовые подписи — это уникальные последовательности байтов в заголовках файлов. «Наша цель состояла в том, чтобы запутать EDR, внедрив сигнатуры вредоносного ПО в законные файлы и заставить их думать, что оно вредоносное», — объяснили эксперты.

Речь шла всего лишь о поиске байтовой сигнатуры, связанной с вредоносным ПО на платформе VirusTotal. Затем злоумышленники создают нового пользователя, который включает эту подпись, и вставляет ее в базу данных. Простого обнаружения этого «ложного» срабатывания в базе данных достаточно, чтобы EDR сочла его опасным и удалила все это в качестве меры предосторожности. Хакеры могут использовать этот эксплойт для блокирования приложений и критически важных служб Windows, что делает его очень опасным инструментом.

 

Заполнение дыр

Когда Касперскому стало известно об эксплойте, он заявил, что проблема не связана с уязвимостью безопасности. «Поведение продукта в большей степени определяется дизайном», — сказал поставщик. К счастью, компания признала, что планирует внести некоторые улучшения, которые помогут смягчить проблему. Коэн сказал, что он проверил эти утверждения и обнаружил, что меры по смягчению последствий, похоже, работают. Однако он не гарантирует, что патчи невозможно обойти.

Эксплойт аналогичным образом затрагивает Защитник Windows и продукты Microsoft, такие как Azure Cloud. Исследователи решили не тестировать уязвимость в облачном сервисе, поскольку потенциальные последствия могут оказаться слишком разрушительными. Вместо этого SafeBreach сообщила о своих выводах Microsoft в январе 2023 года. Microsoft признала потенциальную уязвимость как CVE-2023-24860 и выпустила последующий патч.

Разумеется, исследователи на этом не остановились. Они утверждали, что патчи обеих компаний — это лишь поверхностные исправления. Поскольку продукты Microsoft имеют далеко идущие последствия, команда решила сосредоточить свои усилия именно на них. К декабрю 2023 года экспертам вновь удалось обойти первоначальный патч и запустить эксплойт. На этот раз Microsoft не спешила и заявила, что обход работает только на уже скомпрометированных конечных точках.

Таким образом, дуэт пришел к выводу, что уязвимости удаленного удаления особенно трудно устранить, когда меры безопасности полагаются на обнаружение байтовых сигнатур. Коэн хвалит Microsoft за отзывчивость и готовность к сотрудничеству, но утверждает, что ошибка глубоко укоренилась внутри Defender, и единственный способ полностью решить проблему — это полностью перепроектировать продукт.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...
Поделиться в соц. сетях:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

**ссылки nofollow

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Это может быть вам интересно


Рекомендуемое
AMD опубликовала в репозитории linux-firmware.git новые файлы прошивки графического процессора,…

Спасибо!

Теперь редакторы в курсе.