Odkryto nową technikę przejęcia kontroli nad Windows Defender. Wykorzystuje ona serwery SMB (Server Message Block), by obejść proces skanowania Defendera, co potencjalnie zwiększa ryzyko cichej instalacji niechcianego złośliwego oprogramowania.
Specjaliści cyberbezpieczeństwa z CyberArk tłumaczą, że tzw. "Illusion Gap" - bo tak ochrzczono exploita - adresowany jest do jednego z kroków w procesie skanowania plików. Atakujący musi jednak przekonać najpierw użytkownika do uruchomienia pliku znajdującego się na kontrolowanym serwerze SMB. Gdy to nastąpi, Windows zazwyczaj prosi o dwie kopie pliku wykonywalnego; pierwsza ma uruchomić program i utworzyć dla niego proces, a druga przeznaczona jest dla Windows Defender, który skanuje zawartość pod kątem złośliwego oprogramowania. I w tym miejscu pojawia się problem. Ponieważ serwery SMB potrafią rozróżnić te dwa żądania, atakujący mogą wykonać taką konfigurację, by wysyłane były dwa zupełnie inne pliki. Mówiąc wprost, Windows PE otrzymuje złośliwy plik, ale do Windows Defender trafia jego "czysta" wersja. Jako że skanowanie niczego nie wykryło, Windows PE może kontynuować rozruch programu.
Microsoft został poinformowany o exploicie, jednak z odpowiedzi wynika, że nie jest do dla firmy problem z dziedziny bezpieczeństwa. Przytoczmy jej fragment: "Z waszego raportu wynika, że aby atak się udał, wymagane jest od użytkownika, aby uruchomił/zezwolił na zawartość z niezaufanego źródła SMB na niestandardowym serwerze, który może zmienić jej zachowanie w zależności od wzorca dostępu. Nie wydaje się to problemem bezpieczeństwa, ale raczej requestem funkcjonalnym, który przekazałem grupie inżynierskiej. Dziękujemy jeszcze raz za zgłoszenie problemów z bezpieczeństwem firmie Microsoft w sposób odpowiedzialny. Doceniamy Twój wysiłek w tym zakresie". Kobi Ben Naim z CyberArk jest jednak przekonany, że problem jak najbardziej tyczy się bezpieczeństwa: "Zadaniem Windows Defender jest skanowanie i wykrywanie złośliwych plików, a ta luka umożliwia złośliwym plikom obejście [tych zabezpieczeń], więc [Defender] swoich zadań nie spełnia".
CyberArk wskazuje ponadto, że problem może występować także w innych programach antywirusowych, choć nie zostało to jeszcze zbadane.
-min5dcb124.png)