Így lehet palira venni a Windows víruskeresőjét

Egy olyan módszerre derült fény, amellyel a Windows Defender abba az illúzióba kergethető, hogy a felhasználó által megnyitott vírusos fájl ártalmatlan.
 

A CyberArk szakértői egy érdekes felfedezésükről számoltak be. A vizsgálataik során arra jöttek rá, hogy a Windows Defender bizonyos körülmények között megtéveszthetővé válik. A technikát Illusion Gap néven emlegetik utalva arra, hogy amit a víruskereső lát egy ilyen támadás során, az nem más, mint illúzió. A támadási módszer fontos jellemzője, hogy annak végrehajtásához egy speciálisan konfigurált SMB-szerverre, valamint felhasználói közreműködésre is szükség van. Ezek mind csökkentik egy ilyen támadás kockázatát, de azért korántsem olyan mértékben, hogy félvállról kellene venni a potenciális veszélyeket.
 
Egy támadás során az elkövetőnek valamilyen úton-módon létre kell hoznia egy SMB-szervert, vagy egy meglévőt kell manipulálnia. Ezt követően a felhasználót rá kell vennie arra, hogy erről a kiszolgálóról megnyisson egy fájlt. Ez nem olyan bonyolult, ugyanis egy Asztalra kihelyezett parancsikonra való kattintás is megfelel a célnak.
 
Amikor a felhasználó elindítja a fájlt (látszólag megnyit egy programot), akkor a Windows egy másolatot kér a szervertől az adott fájlból. Ez lesz valójában az az állomány, amely a kártékony kódot tartalmazza. Majd a Windows Defender lép színre, és szintén kér egy példányt a fájlból, hogy megvizsgálhassa azt. A hacker trükk lényege az, hogy ezen a ponton az SMB-szerver utasítható arra, hogy ne azt az állományt küldje el a víruskeresőnek, amit a felhasználó előzőleg megkapott. Ilyenkor a Windows Defender egy másik, teljesen ártalmatlan fájlhoz jut, amit nem fog veszélyesnek minősíteni. Tehát a problémát az okozza, hogy a felhasználó által megnyitott és a biztonsági szoftver által ellenőrzött fájl eltérő, amire a Windows Defender jelenlegi kiadása nem jön rá. 
Nem is biztonsági hiba?