Исследователи обнаружили серьезные недостатки в продуктах безопасности Microsoft и «Лаборатории Касперского». Они утверждают, что Защитника Windows можно обманом заставить удалить базы данных. Хуже того, эксплойт можно активировать удаленно и, возможно, позволить злоумышленникам удалять файлы и приложения издалека. Действительно жутко.
Как впервые сообщил The Register, компания по кибербезопасности SafeBreach обсудила свои выводы во время конференции Black Hat Asia в Сингапуре. Команда утверждает, что дыра может оставаться доступной для использования, даже если оба поставщика заявят, что исправили проблему.
Вице-президент SafeBreach по исследованиям безопасности Томер Бар и исследователь безопасности Шмуэль Коэн обнаружили, что и Защитником Windows, и системой обнаружения и реагирования конечных точек (EDR) Касперского можно манипулировать для обнаружения «поддельных» вредоносных файлов. Эти файлы затем можно использовать для воздействия на всю базу данных и ее удаления.
Атака основана на том факте, что обе компании используют байтовые подписи для обнаружения вредоносного ПО. Байтовые подписи — это уникальные последовательности байтов в заголовках файлов. «Наша цель состояла в том, чтобы запутать EDR, внедрив сигнатуры вредоносного ПО в законные файлы и заставить их думать, что оно вредоносное», — объяснили эксперты.
Речь шла всего лишь о поиске байтовой сигнатуры, связанной с вредоносным ПО на платформе VirusTotal. Затем злоумышленники создают нового пользователя, который включает эту подпись, и вставляет ее в базу данных. Простого обнаружения этого «ложного» срабатывания в базе данных достаточно, чтобы EDR сочла его опасным и удалила все это в качестве меры предосторожности. Хакеры могут использовать этот эксплойт для блокирования приложений и критически важных служб Windows, что делает его очень опасным инструментом.
Заполнение дыр
Когда Касперскому стало известно об эксплойте, он заявил, что проблема не связана с уязвимостью безопасности. «Поведение продукта в большей степени определяется дизайном», — сказал поставщик. К счастью, компания признала, что планирует внести некоторые улучшения, которые помогут смягчить проблему. Коэн сказал, что он проверил эти утверждения и обнаружил, что меры по смягчению последствий, похоже, работают. Однако он не гарантирует, что патчи невозможно обойти.
Эксплойт аналогичным образом затрагивает Защитник Windows и продукты Microsoft, такие как Azure Cloud. Исследователи решили не тестировать уязвимость в облачном сервисе, поскольку потенциальные последствия могут оказаться слишком разрушительными. Вместо этого SafeBreach сообщила о своих выводах Microsoft в январе 2023 года. Microsoft признала потенциальную уязвимость как CVE-2023-24860 и выпустила последующий патч.
Разумеется, исследователи на этом не остановились. Они утверждали, что патчи обеих компаний — это лишь поверхностные исправления. Поскольку продукты Microsoft имеют далеко идущие последствия, команда решила сосредоточить свои усилия именно на них. К декабрю 2023 года экспертам вновь удалось обойти первоначальный патч и запустить эксплойт. На этот раз Microsoft не спешила и заявила, что обход работает только на уже скомпрометированных конечных точках.
Таким образом, дуэт пришел к выводу, что уязвимости удаленного удаления особенно трудно устранить, когда меры безопасности полагаются на обнаружение байтовых сигнатур. Коэн хвалит Microsoft за отзывчивость и готовность к сотрудничеству, но утверждает, что ошибка глубоко укоренилась внутри Defender, и единственный способ полностью решить проблему — это полностью перепроектировать продукт.