Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Описан новый метод обхода Windows Defender

Описан новый метод обхода Windows Defender


28.09.2017

Описан новый метод обхода Windows Defender

Исследователи из компании CyberArk обнаружили новый метод обхода Windows Defender – защитного решения, встроенного в последние версии ОС Windows. Новая техника, получившая название Illusion Gap, основана на использовании двух методов – социальной инженерии и подконтрольного атакующим SMB-сервера.

 Атака Illusion Gap эксплуатирует недочет процесса сканирования Windows Defender, в частности, то как отсканированные файлы хранятся в SMB каталоге перед исполнением. Для успешной атаки злоумышленнику необходимо убедить жертву загрузить и исполнить файл с подконтрольного атакующему SMB-сервера. Проблема возникает, когда пользователь открывает вредоносный файл. По умолчанию Windows запрашивает с SMB-сервера копию файла для создания процесса его исполнения, в то же время Windows Defender также запрашивает копию файла для сканирования.

 SMB-серверы способны различать эти два запроса и именно в этом заключается проблема, поскольку злоумышленники могут сконфигурировать свой SMB-сервер таким образом, чтобы он отправлял два файла – вредоносный и безвредный. Таким образом злоумышленник может отправить вредоносный файл системному загрузчику Windows и "чистый" - Windows Defender. После того, как файл пройдет проверку антивируса, загрузчик исполнит вредоносный файл.

 Специалисты проинформировали Microsoft о проблеме, однако компания не сочла ее уязвимостью. Как пояснил глава исследовательского отдела CyberArk Коби Бен Наим (Kobi Ben Naim), задача Windows Defender – находить и проверять вредоносные файлы. Данная уязвимость позволяет обойти Защитник, так что он не справляется со своей работой, подчеркнул Наим.По словам исследователя, способов предотвратить эксплуатацию уязвимости, помимо установки дополнительных антивирусов и защитных решений, пока нет.

 Эксперты не исключают, что данной проблеме могут быть подвержены другие антивирусы, однако дополнительных исследований в этой области они не проводили.

 Исследователи опубликовали видео с демонстрацией атаки Illusion Gap.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.