Описан новый метод обхода Windows Defender

Описан новый метод обхода Windows Defender

Атака Illusion Gap эксплуатирует недочет процесса сканирования Windows Defender.

Исследователи из компании CyberArk обнаружили новый метод обхода Windows Defender – защитного решения, встроенного в последние версии ОС Windows. Новая техника, получившая название Illusion Gap, основана на использовании двух методов – социальной инженерии и подконтрольного атакующим SMB-сервера.

Атака Illusion Gap эксплуатирует недочет процесса сканирования Windows Defender, в частности, то, как отсканированные файлы хранятся в SMB каталоге перед исполнением. Для успешной атаки злоумышленнику необходимо убедить жертву загрузить и исполнить файл с подконтрольного атакующему SMB-сервера. Проблема возникает, когда пользователь открывает вредоносный файл. По умолчанию Windows запрашивает с SMB-сервера копию файла для создания процесса его исполнения, в то же время Windows Defender также запрашивает копию файла для сканирования.

SMB-серверы способны различать эти два запроса и именно в этом заключается проблема, поскольку злоумышленники могут сконфигурировать свой SMB-сервер таким образом, чтобы он отправлял два файла – вредоносный и безвредный. Таким образом злоумышленник может отправить вредоносный файл системному загрузчику Windows и «чистый» - Windows Defender. После того, как файл пройдет проверку антивируса, загрузчик исполнит вредоносный файл.

Специалисты проинформировали Microsoft о проблеме, однако компания не сочла ее уязвимостью. Как пояснил глава исследовательского отдела CyberArk Коби Бен Наим (Kobi Ben Naim), задача Windows Defender – находить и проверять вредоносные файлы. Данная уязвимость позволяет обойти Защитник, так что он не справляется со своей работой, подчеркнул Наим.По словам исследователя, способов предотвратить эксплуатацию уязвимости, помимо установки дополнительных антивирусов и защитных решений, пока нет.

Эксперты не исключают, что данной проблеме могут быть подвержены другие антивирусы, однако дополнительных исследований в этой области они не проводили.

Исследователи опубликовали видео с демонстрацией атаки Illusion Gap

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться