Антивирусные продукты Microsoft Defender и Kaspersky EDR могут быть использованы злоумышленниками для удаления файлов на компьютере жертвы, пишет The Register. Экспертами описана техника, которая позволяет обманом заставить антивирусы детектировать определенные файлы и после этого их удалять.
Соответствующие уязвимости выявили исследователи безопасности Томер Бар (Tomer Bar) и Шмуэль Коэн (Shmuel Cohen) из американо-израильской компании SafeBreach. По заявлению специалистов, проблема может по-прежнему оставаться актуальной, несмотря на выпуск корректирующих патчей обоими ИБ-вендорами.
Атака основана на эксплуатации особенностей антивирусных продуктов Microsoft и «Лаборатории Касперского». Для выявления вредоносного ПО Defender и Kaspersky EDR используют байтовые сигнатуры – последовательность байтов, находящихся в заголовках файлов.
«Нашей целью было ввести EDR в заблуждение, внедрив вредоносные сигнатуры в легитимные файлы, и заставить их [антивирусы] воспринимать их как угрозу», – поясняют исследователи.
Для начала Бар и Коэн раздобыли байтовую сигнатуру, связанную с вредоносом – на портале VirusTotal. Затем эта сигнатура была интегрирована в файл базы данных, добиться удаление которой пытались исследователи – для этого в нее был добавлен новый пользователь с именем, включающим сигнатуру.
EDR-решения Microsoft и «Лаборатории Касперского» теперь расценивали всю базу данных целиком как зараженную зловредом. Если антивирус настроен таким образом, что автоматически удаляет опасные файлы – это не является редкостью, то и избавиться от совершенно «чистых», к примеру, БД или виртуальных машин, злоумышленнику не составит большого труда, в том числе удаленно. Причем, как показал эксперимент Бара и Коэна, уничтоженные таким образом данные не подлежат восстановлению средствами EDR-решений. Единственный способ вернуть утраченные файлы – обратиться к резервной копии.
По словам Коэна, он с коллегами подумывал проверить этот вектор атаки на практике в условиях, приближенных к «боевым». Целью могла стать облачная инфраструктура самой Microsoft – сервис Azure, который защищен Defender. Однако от такого эксперимента пришлось отказаться из опасений по поводу возможного выхода сервиса из строя по всему миру.Вместо этого SafeBreach сообщила о своей находке в Microsoft. В январе 2023 г. уязвимости был присвоен идентификатор CVE-2023-24860, а в апреле того же года корпорация выпустила исправление.
В «Лаборатории Касперского», как отмечает The Register, заявили, что проблему нельзя причислять к уязвимостям безопасности, так как поведение EDR-решения в описанной исследователями схеме продиктовано принципом его работы. Тем не менее в компании заверили специалистов в том, что «планируют некоторые улучшения, направленные на митигацию проблемы».
Коэн отметил, что впоследствии «Лаборатория Касперского» действительно приняла меры, которые, судя по всему, позволили решить проблему. Однако утверждать, что злоумышленник точно не сможет обойти защиту, исследователь не берется.
В целом Бар и Коэн предпочли сосредоточиться на тестировании продукта Microsoft, поскольку он значительно более распространен, нежели Kaspersky EDR. Исследователи вновь обратились к услугам VirusTotal и повторили опыт с использованием другой сигнатуры. Несмотря на патч, выпущенный Microsoft, повторный эксперимент дуэта из SafeBreach увенчался успехом, о чем специалисты в августе 2023 г. уведомили разработчиков Defender.
К декабрю у разработчиков Defender было готово исправление – с его выходом у EDR-решения появился белый список, благодаря чему использовать ранее выявленный вектор атаки Бару и Коэну стало сложнее. Впрочем, проблему белого списка они решили быстро – оказалось достаточно одной команды PowerShell, чтобы заставить антивирус игнорировать исключения.
На третье сообщение SafeBreach в Microsoft отреагировали не патчем, а заявлением о том, что выявленная специалистами техника обхода новой функции безопасности сама по себе угрозы не представляет.
В компании предложили настраивать Defender таким образом, чтобы любая операция выполнялась только с одобрения пользователя. В Microsoft считают, что текущий подход, реализованный в антивирусе, является хорошо сбалансированным, обеспечивая адекватный уровень безопасности и функциональности.
Несмотря на такой исход, Коэн положительно оценил сотрудничество с Microsoft. По его мнению, в компании хорошо понимают проблему, однако устранить ее окончательно, вероятно, невозможно из-за ее фундаментального характера – для этого потребовалась бы полная переработка продукта.
Источник: https://safe.cnews.ru/news/top/2024-04-22_antivirusy_nauchili_bezvozvratno
А я уже давно поудалял все антивирусы со своих устройств и поотключал автоматические обновления системного ПО. Все стало работать намного шустрее с тех пор 🙂
Не могу рекомендовать это всем и каждому в качестве универсального рецепта, но в моем случае это себя оправдало, хоть мне и не положено такие утверждения делать, но с антивирусами не все так однозначно.