Így lehet palira venni a Windows víruskeresőjét

Egy olyan módszerre derült fény, amellyel a Windows Defender abba az illúzióba kergethető, hogy a felhasználó által megnyitott vírusos fájl ártalmatlan.
 

A CyberArk szakértői egy érdekes felfedezésükről számoltak be. A vizsgálataik során arra jöttek rá, hogy a Windows Defender bizonyos körülmények között megtéveszthetővé válik. A technikát Illusion Gap néven emlegetik utalva arra, hogy amit a víruskereső lát egy ilyen támadás során, az nem más, mint illúzió. A támadási módszer fontos jellemzője, hogy annak végrehajtásához egy speciálisan konfigurált SMB-szerverre, valamint felhasználói közreműködésre is szükség van. Ezek mind csökkentik egy ilyen támadás kockázatát, de azért korántsem olyan mértékben, hogy félvállról kellene venni a potenciális veszélyeket.
 
Egy támadás során az elkövetőnek valamilyen úton-módon létre kell hoznia egy SMB-szervert, vagy egy meglévőt kell manipulálnia. Ezt követően a felhasználót rá kell vennie arra, hogy erről a kiszolgálóról megnyisson egy fájlt. Ez nem olyan bonyolult, ugyanis egy Asztalra kihelyezett parancsikonra való kattintás is megfelel a célnak.
 
Amikor a felhasználó elindítja a fájlt (látszólag megnyit egy programot), akkor a Windows egy másolatot kér a szervertől az adott fájlból. Ez lesz valójában az az állomány, amely a kártékony kódot tartalmazza. Majd a Windows Defender lép színre, és szintén kér egy példányt a fájlból, hogy megvizsgálhassa azt. A hacker trükk lényege az, hogy ezen a ponton az SMB-szerver utasítható arra, hogy ne azt az állományt küldje el a víruskeresőnek, amit a felhasználó előzőleg megkapott. Ilyenkor a Windows Defender egy másik, teljesen ártalmatlan fájlhoz jut, amit nem fog veszélyesnek minősíteni. Tehát a problémát az okozza, hogy a felhasználó által megnyitott és a biztonsági szoftver által ellenőrzött fájl eltérő, amire a Windows Defender jelenlegi kiadása nem jön rá.  
Nem is biztonsági hiba?
 
A CyberArk a felfedezésének nyilvánosságra hozatala előtt értesítette a Microsoftot, és átadta a technikai leírásokat. Azonban a Microsoft illetékes csapata a problémát nem értékelte biztonsági problémaként.
 
"Köszönjük levelét! A bejelentése alapján a sikeres támadáshoz szükség van arra, hogy a felhasználó elindítson vagy megbízzon egy tartalomban, amely egy nem megbízható SMB-megosztáson található. A fájlt kiszolgáló szervernek pedig képesnek kell lennie arra, hogy a működését fájlelérési minták alapján változtassa. Mindez nem biztonsági problémának tűnik, hanem egy funkcionális tényező, amit továbbítottunk a mérnökcsapat számára" - írta a Microsoft a CyberArk kutatóinak.
 
Mit lehet tenni?
 
A biztonsági cég a fentiek kapcsán azt javasolta, hogy lehetőségek szerint a végpontokon a Windows Defender mellett fusson egy másik vírusvédelmi alkalmazás is. Emellett az olyan több szintű védekezés az igazán célra vezető, amelyben a kiszolgálók ellenőrzése mellett többek között hozzáféréskezelési és alkalmazáskontrollok is érvényre jutnak. Ugyanakkor a nagy kérdés jelenleg az, hogy a bemutatott trükköt más víruskeresők is "megeszik-e". Erre vonatkozóan a kutatók még nem végeztek vizsgálatokat, de minden bizonnyal a közeljövőben az antivírus fejlesztők is tesztelik majd a saját technológiáik "Illusion Gap"-pel szembeni ellenálló képességét.