Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Set 28, 2017 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
C’è un modo per aggirare Windows Defender e fare in modo che il computer protetto dal software di sicurezza Microsoft avvii un malware “saltando” il controllo dell’antivirus.
La tecnica di attacco, scoperta da CyberArk e battezzata con il nome di Illusion Gap, sfrutta l’uso di un server SMB (Server Message Block, lo stesso usato dal tool dell’NSA conosciuto come EternalBlue) per fare un piccolo “gioco di prestigio” che inganna Windows Defender.
A rendere possibile il tutto è il metodo usato dall’antivirus Microsoft per analizzare i file provenienti dai server SMB. Quando il collegamento al file viene aperto, infatti, Windows reagisce con due richieste: una da parte di Windows Defender, che scarica e analizza il file, l’altra da Windows PE Loader, che ne avvia l’esecuzione.
Peccato che chi gestisce il server SMB possa facilmente distinguere le due richieste e inviare un file diverso a ognuna di queste.
Il trucchetto funziona in questo modo: per prima cosa i pirati devono creare un server SMB sotto il loro controllo e caricare due file con lo stesso nome. Uno conterrà il malware, mentre l’altro sarà assolutamente innocuo. A questo punto non gli rimane che inviare al computer che vogliono colpire un collegamento che punta al file.
La tecnica è illustrata in un report e attraverso due video: nel primo si vede il controllo eseguito attraverso una scansione di Windows Defender del file proveniente dal server SMB, mentre nel secondo l’analisi (sempre con Windows Defender) su VirusTotal.
Quando arriverà la richiesta di Windows Defender il server invierà il file “pulito”, ma alla richiesta del loader risponderà inviando il malware. Controllo aggirato, computer compromesso.
Se qualcuno pensa che Microsoft stia correndo ai ripari per correggere il problema, però, si sbaglia di grosso. Alla segnalazione da parte dei ricercatori di CyberArk, infatti, l’azienda di Satya Nadella ha risposto dicendo che non si tratterebbe di un problema di sicurezza, ma di una “feature” del sistema.
Ora resta da vedere se dalle parti di Microsoft qualcuno cambierà idea (e si spera lo faccia) su come qualificare il problema ma, soprattutto, se altre società di sicurezza esamineranno la questione.
Nel report, infatti, i ricercatori non escludono che il problema possa riguardare anche altri antivirus che adottino lo stesso sistema per analizzare i file provenienti dai server SMB. CyberArk ha infatti specificato di non aver eseguito test con altri antivirus ma di non escludere che il problema possa presentarsi anche con altri prodotti.
Se così fosse, ci troveremmo di fronte a una falla decisamente più grave, che permetterebbe ai cyber-criminali di colpire impunemente un gran numero di PC.
Apr 17, 2024 0
Apr 10, 2024 0
Feb 15, 2024 0
Feb 09, 2024 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...