Защитника Windows можно заставить удалить неинфицированные файлы

Защитника Windows можно заставить удалить неинфицированные файлы. Фото СС0

Исследователи кибербезопасности из SafeBreach обсудили свои выводы во время конференции Black Hat Asia в Сингапуре.

Не все согласны с исследователями, но в Microsoft частично признали выводы исследователей, хотя и не стали развивать тему дальше.

Исследователи — Таймер Бар и Шмуэль Коэн — объяснили, что проблема связана с тем, что и в Microsoft, и в Касперском используют байтовые подписи для обнаружения вредоносного ПО.

Байтовые подписи представляют собой уникальные последовательности байтов в заголовках файлов, и, если хакер добавит их в законный файл, решения безопасности пометят их как вредоносные.

Теоретически хакеры смогут удаленно удалять файлы людей. Например, они могут зарегистрироваться в качестве нового пользователя на веб-сайте и добавить к своему имени байтовую подпись. Подпись попадет в базу данных, заставив программу безопасности удалить всю информацию. Злоумышленник может добавить подпись к комментарию видео с той же целью.

Потенциальные последствия настолько велики, что исследователи не смогли заставить себя проверить гипотезу.

Первоначально в Microsoft признала выводы. Уязвимость была зарегистрирована под CVE-2023-24860 и исправлена в апреле 2023 года. В Лаборатории Касперского не выпустили патч, поскольку «поведение продукта в большей степени определяется дизайном». Однако в компании заявли, что команда «планировала некоторые улучшения для смягчения этой проблемы».

На этом исследователи не остановились. Они посчитали, что Касперский недостаточно популярен, чтобы требовать дальнейшего расследования, поэтому сосредоточили свое внимание на Microsoft.

Им удалось обойти первоначальный патч, что привело к регистрации CVE-2023-3601 в декабре 2023 года. Они попытались еще раз, видимо, сумев обойти исправление, но на этот раз — в Microsoft не стали разрабатывать патч, заявив, что обход работает только на уже скомпрометированные конечные точки.

Из сообщения компании:

«Обход функции безопасности эшелонированной защиты сам по себе не представляет прямого риска, поскольку злоумышленник также должен обнаружить уязвимость, которая влияет на границу безопасности, или он должен полагаться на дополнительные методы, такие как социальная инженерия, для достижения начальной стадии компрометации устройства.»

Исследователи пришли к выводу, что для полного решения этой проблемы Defender необходимо перепроектировать с нуля.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Microsoft представляет новую систему безопасности на основе распознавания лиц.
• Разработчики Proton выпустили корпоративную версию менеджера паролей.
• JetBrains предупреждает о новой уязвимости обхода авторизации TeamCity.