Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Set 28, 2017 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
C’è un modo per aggirare Windows Defender e fare in modo che il computer protetto dal software di sicurezza Microsoft avvii un malware “saltando” il controllo dell’antivirus.
La tecnica di attacco, scoperta da CyberArk e battezzata con il nome di Illusion Gap, sfrutta l’uso di un server SMB (Server Message Block, lo stesso usato dal tool dell’NSA conosciuto come EternalBlue) per fare un piccolo “gioco di prestigio” che inganna Windows Defender.
A rendere possibile il tutto è il metodo usato dall’antivirus Microsoft per analizzare i file provenienti dai server SMB. Quando il collegamento al file viene aperto, infatti, Windows reagisce con due richieste: una da parte di Windows Defender, che scarica e analizza il file, l’altra da Windows PE Loader, che ne avvia l’esecuzione.
Peccato che chi gestisce il server SMB possa facilmente distinguere le due richieste e inviare un file diverso a ognuna di queste.
Il trucchetto funziona in questo modo: per prima cosa i pirati devono creare un server SMB sotto il loro controllo e caricare due file con lo stesso nome. Uno conterrà il malware, mentre l’altro sarà assolutamente innocuo. A questo punto non gli rimane che inviare al computer che vogliono colpire un collegamento che punta al file.
La tecnica è illustrata in un report e attraverso due video: nel primo si vede il controllo eseguito attraverso una scansione di Windows Defender del file proveniente dal server SMB, mentre nel secondo l’analisi (sempre con Windows Defender) su VirusTotal.
Quando arriverà la richiesta di Windows Defender il server invierà il file “pulito”, ma alla richiesta del loader risponderà inviando il malware. Controllo aggirato, computer compromesso.
Se qualcuno pensa che Microsoft stia correndo ai ripari per correggere il problema, però, si sbaglia di grosso. Alla segnalazione da parte dei ricercatori di CyberArk, infatti, l’azienda di Satya Nadella ha risposto dicendo che non si tratterebbe di un problema di sicurezza, ma di una “feature” del sistema.
Ora resta da vedere se dalle parti di Microsoft qualcuno cambierà idea (e si spera lo faccia) su come qualificare il problema ma, soprattutto, se altre società di sicurezza esamineranno la questione.
Nel report, infatti, i ricercatori non escludono che il problema possa riguardare anche altri antivirus che adottino lo stesso sistema per analizzare i file provenienti dai server SMB. CyberArk ha infatti specificato di non aver eseguito test con altri antivirus ma di non escludere che il problema possa presentarsi anche con altri prodotti.
Se così fosse, ci troveremmo di fronte a una falla decisamente più grave, che permetterebbe ai cyber-criminali di colpire impunemente un gran numero di PC.
Nov 15, 2024 0
Ott 10, 2024 0
Set 13, 2024 0
Lug 31, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...