Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Pētnieki apiet Microsoft antivīrusa Windows Defender aizsardzību

Pētnieki apiet Microsoft antivīrusa Windows Defender aizsardzību

Kā ziņo Threatpost, pētnieki ir atklājuši metodi, kā apiet Microsoft antivīrusu Windows Defender, tā ļaujot jebkurai ļaunprogrammatūrai darboties Windows datorā. Tikmēr Microsoft paziņojis šiem ekspertiem, ka neuzskata to par drošības trūkumu un nemaz nemēģinās novērst šo problēmu Windows iebūvētajā drošības risinājumā.

 

Lai apietu aizsardzību, tiek izmantots speciāli izveidots SMB serveris, kas liek Windows Defender skenēt nekaitīgu datni, un tad tiek izpildīta cita, kaitīga datne, kas ievadīta operētājsistēmā. Pētnieku grupas CyberArk vadītājs Dorons Naims un kiberpētniecības vecākais speciālists Kobi Ben-Naims stāsta, ka viņu izstrādātā uzbrukuma metode, kuru viņi dēvē par Illusion Gap, varētu ļaut apiet arī citus komerciālos antivīrusu produktus.

„Kad uzbrucējs ievieto kaitīgo datni serverī, viņš var kontrolēt, par kuru datni paziņos programmai Windows Defender, ka šī datne tiks izpildīta,” saka Naims un piebilst, ka tāda situācija ir saistīta ar Windows Defender izsaukuma uzbūves problēmu. „Tā kā jūs esat SMB servera pusē, tad varat noteikt, vai pie jums vēršas operētājsistēma, vai Windows Defender. Ja uzbrucējs SMB pusē konstatē, ka viņa datni vēlas saņemt Windows Defender, viņš var kaitīgās datnes vietā iesniegt citu, nekaitīgu datni. Īstā datne, kuru OS izmanto pēc šīs procedūras, ir kaitīga.”

Naims vēl paskaidro, ka viņu izveidotais skripts var nosūtīt pieprasījumu Windows Defender un tas var neatvērt datni.

Tikmēr Microsoft paziņojumā, kas adresēts grupai CyberArk, tiek norādīts: tā kā sekmīgs uzbrukums iespējams tikai tad, ja lietotājs izpilda kaitīgu kodu no nedroša SMB servera, tad „liekas, ka šis ir funkcijas pieprasījums, nevis drošības problēma”. Microsoft informē CyberArk, ka tāds pieprasījums jau ir nosūtīts inženiertehniskajam departamentam.

„Tā ir diezgan smieklīga atbilde. Ja jūs izstrādājat drošības risinājumu, tad skaidrs, ka šī risinājuma galvenais uzdevums ir lielākas drošības garantēšana,” uzskata Ben-Naims. „Ja nolemjat, ka antivīrusam pirms izpildīšanas katra procesa izpildāmā datne ir jāskenē, tad gadījumā, kad nav iespējams skenēt šo datni, pēc noklusējuma būtu jāaizliedz šāda procesa izpilde. Tādai vajadzētu būt ikviena drošības risinājumu piegādātāja loģikai.”

Naims uzsver, ka patiesībā notiek pilnīgi pretējais un ka pat tad, ja Windows Defender nespēj skenēt datni, tas tomēr pieļauj procesa izpildi. CyberArk norāda, ka ir privāti paziņojusi par līdzīgām problēmām citiem drošības risinājumu piegādātājiem.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

66 − 59 =

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu