Описан новый метод обхода Windows Defender

Исследователи из компании CyberArk обнаружили новый метод обхода Windows Defender – защитного решения, встроенного в последние версии ОС Windows. Новая техника, получившая название Illusion Gap, основана на использовании двух методов – социальной инженерии и подконтрольного атакующим SMB-сервера.

Атака Illusion Gap эксплуатирует недочет процесса сканирования Windows Defender, в частности, то, как отсканированные файлы хранятся в SMB каталоге перед исполнением. Для успешной атаки злоумышленнику необходимо убедить жертву загрузить и исполнить файл с подконтрольного атакующему SMB-сервера. Проблема возникает, когда пользователь открывает вредоносный файл. По умолчанию Windows запрашивает с SMB-сервера копию файла для создания процесса его исполнения, в то же время Windows Defender также запрашивает копию файла для сканирования.

SMB-серверы способны различать эти два запроса и именно в этом заключается проблема, поскольку злоумышленники могут сконфигурировать свой SMB-сервер таким образом, чтобы он отправлял два файла – вредоносный и безвредный. Таким образом злоумышленник может отправить вредоносный файл системному загрузчику Windows и «чистый» - Windows Defender. После того, как файл пройдет проверку антивируса , загрузчик исполнит вредоносный файл.

Специалисты проинформировали Microsoft о проблеме, однако компания не сочла ее уязвимостью. Как пояснил глава исследовательского отдела CyberArk Коби Бен Наим (Kobi Ben Naim), задача Windows Defender – находить и проверять вредоносные файлы. Данная уязвимость позволяет обойти Защитник, так что он не справляется со своей работой, подчеркнул Наим.По словам исследователя, способов предотвратить эксплуатацию уязвимости, помимо установки дополнительных антивирусов и защитных решений, пока нет.

Эксперты не исключают, что данной проблеме могут быть подвержены другие антивирусы, однако дополнительных исследований в этой области они не проводили.

Исследователи опубликовали видео с демонстрацией атаки Illusion Gap