Computer-Sicherheitsexperten entdeckten eine Möglichkeit, den Windows Defender Antivirus-Schutz zu umgehen während einer eingehenden Prüfung Anwendung Audit. Dies ermöglicht es Hackern Potenzial ähnlich Intrusion Pfade, um Sicherheits-Software zu suchen,.
Microsofts eigenes Windows Defender Antivirus gefunden Unsichere
Die Sicherheitsexperten von CyberArk Labs entdeckt eine seltsame Mechanismen, die von Microsofts Antiviren-Software Windows Defender während einer eingehenden Sicherheitsüberprüfung verwendet wird,. Dies führte zur Entdeckung einer Art und Weise seiner Malware-Engine zu umgehen, eine Technik, die von Kriminellen ausgenutzt werden kann, wenn das Problem nicht gepatchten bleibt. Eine Besorgnis erregendes Detail ist die Tatsache, dass dies auch bei anderen Anwendungen verwendet werden,. Das Problem liegt in der Fähigkeit einer angeblich böswilligen Person der Windows Defender Echtzeit-Scan-Engine zu täuschen.
Die Experten fanden heraus, dass der Fehler in der Art und Weise liegt das Programm scannt Dateien über das Netzwerk. Microsoft Windows verwendet das SMB-Protokoll, die komplexen Signale Funktionen, die Informationen über die Daten geben. Die Sicherheitsingenieure entdeckt, dass Hacker die Fähigkeit haben, Malware-infizierte Dateien zu geben,. Dies wird durch das Ersetzen der gutartigen Dateien durchgeführt, wenn die Anforderung mit Malware diejenigen ausgegeben wird,.
Das SMB-Protokoll wird in das Microsoft Windows-Betriebssystem integriert und arbeitet in einer Weise, die die Hacker ermöglicht die Datei absichtlich Fehler den Griff Befehl während einer Malware-Scan Anforderung verarbeitet auszubeuten. Effektiv bedeutet dies, dass der Windows Defender-Echtzeit-Scan umgangen wird.
Eine solche kann ein Sicherheits Bypass mit verschiedenen Methoden erreicht werden,, eine davon ist durch für einen bestimmten Netzwerkprotokoll-Flag suchen, die für ein Windows Defender Antivirus-Scan-Anforderungssignale. die Sicherheit Missbrauch initiieren die Verbrecher müssen das SMB-Protokoll durch die Schaffung und einem SMB implementieren “pseudo-Server” dass in der Lage, zwischen den spezifischen Windows Defender-Scan-Anforderungen und anderen Optionen zu unterscheiden.
Eine andere Möglichkeit wäre eine weitere SMB-Protokoll Trick zu verwenden, die zum Imitieren SEC_IDENTIFY Flagge, die effektiv Schöpfungen Blöcke handhaben, Dies verbietet den Windows Defender-Scan aus wird produziert. Der Hacker kann eine Pipette entwickeln, die die Vorteile der Verwundbarkeit in einem relativ einfachen Skript nehmen. Es ist möglich, diese Taktik zu verwenden und es mit anderer Sicherheits-Software zu nutzen, wenn sie die gleichen Verhaltensmuster verfügen gefunden.
Wenn die Experten die Gefahr für die Microsoft berichtet erhielten sie eine Antwort von dem Sicherheitsteam die besagt, dass Änderungen in der Art und Weise Windows Defender Scannen ein Feature-Request und kein legitimes Problem sind Griffe. Nach Angaben des Unternehmen dieses Angriff die Art und Weise durchgeführt wird, beruht hauptsächlich auf der Tatsache, dass ein benutzerdefinierter Server und eine nicht vertrauenswürdige SMB-Freigabe durch den Benutzer zugegriffen werden.
All dies bedeutet, dass die Nutzer selbst sein müssen vorsichtig, wenn eine solche gefälschte SMB-Server einfach erstellen und dienen Malware-Dateien auf Netzwerkdateien wie die Computer-Kriminelle Zugriff können. Die Sicherheits-Community bewertet das Problem als besonders empfindlich wegen der Tatsache, dass böswillige Benutzer dieser Strategie anbieten können besonders einfach, wenn ein Zielnetz infiltriert worden.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: