Így lehet palira venni a Windows víruskeresőjét
Egy olyan módszerre derült fény, amellyel a Windows Defender abba az illúzióba kergethető, hogy a felhasználó által megnyitott vírusos fájl ártalmatlan.A CyberArk szakértői egy érdekes felfedezésükről számoltak be. A vizsgálataik során arra jöttek rá, hogy a Windows Defender bizonyos körülmények között megtéveszthetővé válik. A technikát Illusion Gap néven emlegetik utalva arra, hogy amit a víruskereső lát egy ilyen támadás során, az nem más, mint illúzió. A támadási módszer fontos jellemzője, hogy annak végrehajtásához egy speciálisan konfigurált SMB-szerverre, valamint felhasználói közreműködésre is szükség van. Ezek mind csökkentik egy ilyen támadás kockázatát, de azért korántsem olyan mértékben, hogy félvállról kellene venni a potenciális veszélyeket.
Egy támadás során az elkövetőnek valamilyen úton-módon létre kell hoznia egy SMB-szervert, vagy egy meglévőt kell manipulálnia. Ezt követően a felhasználót rá kell vennie arra, hogy erről a kiszolgálóról megnyisson egy fájlt. Ez nem olyan bonyolult, ugyanis egy Asztalra kihelyezett parancsikonra való kattintás is megfelel a célnak.
Amikor a felhasználó elindítja a fájlt (látszólag megnyit egy programot), akkor a Windows egy másolatot kér a szervertől az adott fájlból. Ez lesz valójában az az állomány, amely a kártékony kódot tartalmazza. Majd a Windows Defender lép színre, és szintén kér egy példányt a fájlból, hogy megvizsgálhassa azt. A hacker trükk lényege az, hogy ezen a ponton az SMB-szerver utasítható arra, hogy ne azt az állományt küldje el a víruskeresőnek, amit a felhasználó előzőleg megkapott. Ilyenkor a Windows Defender egy másik, teljesen ártalmatlan fájlhoz jut, amit nem fog veszélyesnek minősíteni. Tehát a problémát az okozza, hogy a felhasználó által megnyitott és a biztonsági szoftver által ellenőrzött fájl eltérő, amire a Windows Defender jelenlegi kiadása nem jön rá.
Nem is biztonsági hiba?
A CyberArk a felfedezésének nyilvánosságra hozatala előtt értesítette a Microsoftot, és átadta a technikai leírásokat. Azonban a Microsoft illetékes csapata a problémát nem értékelte biztonsági problémaként.
"Köszönjük levelét! A bejelentése alapján a sikeres támadáshoz szükség van arra, hogy a felhasználó elindítson vagy megbízzon egy tartalomban, amely egy nem megbízható SMB-megosztáson található. A fájlt kiszolgáló szervernek pedig képesnek kell lennie arra, hogy a működését fájlelérési minták alapján változtassa. Mindez nem biztonsági problémának tűnik, hanem egy funkcionális tényező, amit továbbítottunk a mérnökcsapat számára" - írta a Microsoft a CyberArk kutatóinak.
Mit lehet tenni?
A biztonsági cég a fentiek kapcsán azt javasolta, hogy lehetőségek szerint a végpontokon a Windows Defender mellett fusson egy másik vírusvédelmi alkalmazás is. Emellett az olyan több szintű védekezés az igazán célra vezető, amelyben a kiszolgálók ellenőrzése mellett többek között hozzáféréskezelési és alkalmazáskontrollok is érvényre jutnak. Ugyanakkor a nagy kérdés jelenleg az, hogy a bemutatott trükköt más víruskeresők is "megeszik-e". Erre vonatkozóan a kutatók még nem végeztek vizsgálatokat, de minden bizonnyal a közeljövőben az antivírus fejlesztők is tesztelik majd a saját technológiáik "Illusion Gap"-pel szembeni ellenálló képességét.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.