Buco in Windows Defender, ma per Microsoft non è una falla di sicurezza

Set 28, 2017 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0

La tecnica di attacco Illusion Gap permette di aggirare completamente l’antivirus. Per l’azienda, però, non è un problema di sicurezza

C’è un modo per aggirare Windows Defender e fare in modo che il computer protetto dal software di sicurezza Microsoft avvii un malware “saltando” il controllo dell’antivirus.

La tecnica di attacco, scoperta da CyberArk e battezzata con il nome di Illusion Gap, sfrutta l’uso di un server SMB (Server Message Block, lo stesso usato dal tool dell’NSA conosciuto come EternalBlue) per fare un piccolo “gioco di prestigio” che inganna Windows Defender.

A rendere possibile il tutto è il metodo usato dall’antivirus Microsoft per analizzare i file provenienti dai server SMB. Quando il collegamento al file viene aperto, infatti, Windows reagisce con due richieste: una da parte di Windows Defender, che scarica e analizza il file, l’altra da Windows PE Loader, che ne avvia l’esecuzione.

Peccato che chi gestisce il server SMB possa facilmente distinguere le due richieste e inviare un file diverso a ognuna di queste.

L’analisi del file che sta per essere eseguito viene effettuata su una copia richiesta in maniera indipendente. In fondo cosa può andare storto?

Il trucchetto funziona in questo modo: per prima cosa i pirati devono creare un server SMB sotto il loro controllo e caricare due file con lo stesso nome. Uno conterrà il malware, mentre l’altro sarà assolutamente innocuo. A questo punto non gli rimane che inviare al computer che vogliono colpire un collegamento che punta al file.

La tecnica è illustrata in un report e attraverso due video: nel primo si vede il controllo eseguito attraverso una scansione di Windows Defender del file proveniente dal server SMB, mentre nel secondo l’analisi (sempre con Windows Defender) su VirusTotal.

Quando arriverà la richiesta di Windows Defender il server invierà il file “pulito”, ma alla richiesta del loader risponderà inviando il malware. Controllo aggirato, computer compromesso.

Se qualcuno pensa che Microsoft stia correndo ai ripari per correggere il problema, però, si sbaglia di grosso. Alla segnalazione da parte dei ricercatori di CyberArk, infatti, l’azienda di Satya Nadella ha risposto dicendo che non si tratterebbe di un problema di sicurezza, ma di una “feature” del sistema.

Ecco la risposta di Microsoft come riportata da CyberArk nel suo report.

Ora resta da vedere se dalle parti di Microsoft qualcuno cambierà idea (e si spera lo faccia) su come qualificare il problema ma, soprattutto, se altre società di sicurezza esamineranno la questione.

Nel report, infatti, i ricercatori non escludono che il problema possa riguardare anche altri antivirus che adottino lo stesso sistema per analizzare i file provenienti dai server SMB. CyberArk ha infatti specificato di non aver eseguito test con altri antivirus ma di non escludere che il problema possa presentarsi anche con altri prodotti.

Se così fosse, ci troveremmo di fronte a una falla decisamente più grave, che permetterebbe ai cyber-criminali di colpire impunemente un gran numero di PC.

Condividi l'articolo