Эксперты безопасности CyberArk научились обманывать Защитник Windows,заставляя его сканировать благонадежные файлы, а запускать вредоносные. Однако представители Microsoft заметили, что компания не видит проблемы в архитектуре безопасности и не будет исправлять уязвимость во встроенной антивирусной защите.

Вот как сформулировала свою позицию Microsoft в заявлении для Threatpost:

«Едва ли эта методика найдет широкое применение. Злоумышленнику сначала нужно убедить пользователя согласиться на выполнение неизвестной программы из непроверенного источника. Чтобы дать злоумышленнику права администратора, пользователю надо будет отклонить ряд дополнительных предупреждений. И даже если преступнику все-таки удастся заставить пользователя выполнить все эти шаги, антивирусная программа Защитник Windows и Advanced Threat Protection в Защитнике Windows смогут обнаружить и предотвратить дальнейшие действия хакера».

Руководитель группы киберисследований в CyberArk Дорон Наим (Doron Naim) и Коби Бен-Наим (Kobi Ben Naim), старший директор того же направления, рассказали Threatpost, что разработанная ими атака, которую они назвали Illusion Gap, может обойти и другие коммерческие антивирусы. Умелый хакер с ее помощью может проникнуть через систему в локальную сеть или использовать другие уязвимости.

Главный компонент разработанной схемы — вредоносный сервер SMB, на котором размещается эксплойт. Сначала злоумышленнику нужно убедить жертву выполнить этот эксплойт, после чего сервер SMB отправляет загрузчику программ (который готовит процессы к запуску в операционной системе) и Защитнику Windows разные файлы. Как только загрузчик создаст процесс для выполнения файла и запросит его у сервера SMB, злоумышленник передает ему зловред. Но когда исполняемый файл запрашивает Защитник Windows для сканирования, то получает с сервера безопасный код. Таким образом, у Защитника нет причин блокировать исполнение процесса — и загрузчик с чувством выполненного долга запускает вредоносный файл.

По мнению Наима, в основе проблемы лежит ошибка разработки, связанная с запросами Защитника Windows. «Со стороны сервера SMB понятно, откуда исходит запрос — из операционной системы или из Защитника Windows. Когда злоумышленник на стороне SMB видит, что Защитник Windows собирается просканировать вредоносный файл, он отправляет ему безопасный, а в системе затем запускается именно зловред».

Также Наим сообщил, что им удалось создать скрипт с запросом к Защитнику Windows, вызывающим у того фатальную ошибку.

Однако Microsoft не согласилась с CyberArk насчет того, что речь идет о проблеме в архитектуре системы безопасности. По их мнению, поскольку злоумышленник должен для начала завоевать доверие пользователя, проблема просто в отсутствии настроек, которые не дадут выполнить вредоносный код с ненадежного сервера SMB. Как сообщила Microsoft, поручение о разработке нужной функции уже было передано группе разработчиков.

«Это довольно странный ответ. Первая и единственная цель любого средства безопасности — обеспечить максимальную защиту, — комментирует Бен-Наим. — Если каждый исполняемый файл должен сканироваться антивирусом, но сканирование оказывается невозможным, такой процесс априори нельзя запускать. Это должен понимать любой вендор систем безопасности».

По словам Наима, Защитник Windows делает с точностью до наоборот: если он не может просканировать файл, то по умолчанию разрешает его выполнение. А тем временем представители CyberArk заявили, что в частном порядке сообщили о похожих проблемах и другим поставщикам средств кибербезопасности.

«Если на стороне SMB можно определить, какие запросы поступают от встроенного антивируса, а какие от процессов Windows, то принципиальной разницы с другими антивирусами нет. Их можно обмануть по точно такой же схеме», — считают исследователи.

Категории: Уязвимости