Illusion Gap bypassa Windows Defender security center

Illusion Gap bypassa Windows Defender security center

Illusion Gap bypassa Windows Defender security center

Questa vulnerabilità permette ai file di sfuggire

alla scansione di Windows Defender

Sono stati pubblicati da poco i dettagli di una potenziale

vulnerabilità del server SMB che potrebbe permettere

in determinate circostanze, di bypassare la scansione di sicurezza

di Windows Defender e conseguentemente infettare un computer

con qualsiasi tipo di malware La teoria alla base dell’exploit è che quando viene lanciata

un’applicazione su un server SMB

 

Tuttavia, Windows in realtà richiede due copie del file eseguibile: una viene normalmente

aperta, l’altra viene inviata a Windows Defender per la scansione di sicurezza.

 

Illusion Gap bypassa Windows Defender security Center

pertanto, i server SMB riescono a distinguere le due richieste, e quindi conoscono

la destinazione di ogni copia del file, un server “cattivo” potrebbe inviare un eseguibile

infetto a Windows, e uno pulito a Windows Defender.

Illusion Gap bypassa Windows Defender security center

Fonte

Illusion Gap bypassa Windows Defender security center

 

in altre parole, si tratta di circostanze limite, difficili da replicare nel piccolo delle nostre

abitazioni e probabilmente anche in un’azienda.

È anche per questo che Microsoft ha risposto al ricercatore che ha fatto la scoperta

di non considerarla una falla – al limite una feature da implementare.

 

I ricercatori di sicurezza di CyberArk hanno scoperto una nuova tecnica che consente

al malware di ignorare Windows Defender

il software di sicurezza standard incluso in tutti i sistemi operativi Windows.

 

Illusion Gap bypassa Windows Defender security Center

pertanto, La tecnica Illusion Gap si basa su una miscela sia dell’ingegneria

sociale che dell’uso di un server SMB rogue.

 

Tuttavia, Per avere successo, un attacco richiede che un utente esegua contenuto da una

condivisione SMB non attendibile, con il supporto di un server SMB custom

che può modificare il proprio comportamento in base al pattern di accesso.

 

Illusion Gap bypassa Windows Defender security Center

Per il ricercatore la questione è invece diversa:

Il lavoro di Windows Defender è scansionare e identificare file dannosi.

Questa vulnerabilità permette ai file di sfuggire alla scansione di Windows Defender

AMCOMPUTERS

[Voti: 1   Media: 5/5]

Lascia un commento