Aggiornamenti recenti Ottobre 9th, 2024 5:18 PM
Set 28, 2017 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
C’è un modo per aggirare Windows Defender e fare in modo che il computer protetto dal software di sicurezza Microsoft avvii un malware “saltando” il controllo dell’antivirus.
La tecnica di attacco, scoperta da CyberArk e battezzata con il nome di Illusion Gap, sfrutta l’uso di un server SMB (Server Message Block, lo stesso usato dal tool dell’NSA conosciuto come EternalBlue) per fare un piccolo “gioco di prestigio” che inganna Windows Defender.
A rendere possibile il tutto è il metodo usato dall’antivirus Microsoft per analizzare i file provenienti dai server SMB. Quando il collegamento al file viene aperto, infatti, Windows reagisce con due richieste: una da parte di Windows Defender, che scarica e analizza il file, l’altra da Windows PE Loader, che ne avvia l’esecuzione.
Peccato che chi gestisce il server SMB possa facilmente distinguere le due richieste e inviare un file diverso a ognuna di queste.
Il trucchetto funziona in questo modo: per prima cosa i pirati devono creare un server SMB sotto il loro controllo e caricare due file con lo stesso nome. Uno conterrà il malware, mentre l’altro sarà assolutamente innocuo. A questo punto non gli rimane che inviare al computer che vogliono colpire un collegamento che punta al file.
La tecnica è illustrata in un report e attraverso due video: nel primo si vede il controllo eseguito attraverso una scansione di Windows Defender del file proveniente dal server SMB, mentre nel secondo l’analisi (sempre con Windows Defender) su VirusTotal.
Quando arriverà la richiesta di Windows Defender il server invierà il file “pulito”, ma alla richiesta del loader risponderà inviando il malware. Controllo aggirato, computer compromesso.
Se qualcuno pensa che Microsoft stia correndo ai ripari per correggere il problema, però, si sbaglia di grosso. Alla segnalazione da parte dei ricercatori di CyberArk, infatti, l’azienda di Satya Nadella ha risposto dicendo che non si tratterebbe di un problema di sicurezza, ma di una “feature” del sistema.
Ora resta da vedere se dalle parti di Microsoft qualcuno cambierà idea (e si spera lo faccia) su come qualificare il problema ma, soprattutto, se altre società di sicurezza esamineranno la questione.
Nel report, infatti, i ricercatori non escludono che il problema possa riguardare anche altri antivirus che adottino lo stesso sistema per analizzare i file provenienti dai server SMB. CyberArk ha infatti specificato di non aver eseguito test con altri antivirus ma di non escludere che il problema possa presentarsi anche con altri prodotti.
Se così fosse, ci troveremmo di fronte a una falla decisamente più grave, che permetterebbe ai cyber-criminali di colpire impunemente un gran numero di PC.
Set 13, 2024 0
Lug 31, 2024 0
Lug 19, 2024 0
Giu 29, 2024 0
Ott 09, 2024 0
Ott 09, 2024 0
Ott 08, 2024 0
Ott 07, 2024 0
Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...Ott 07, 2024 0
I ricercatori di Acronis hanno individuato un attacco...Ott 07, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...