Illusion Gap bypassa Windows Defender security center

Illusion Gap bypassa Windows Defender security center

Illusion Gap bypassa Windows Defender security center

Sono stati pubblicati da poco i dettagli di una potenziale vulnerabilità del server SMB che potrebbe permettere, in determinate circostanze, di bypassare la scansione di sicurezza di Windows Defender e conseguentemente infettare un computer con qualsiasi tipo di malware La teoria alla base dell’exploit è che quando viene lanciata un’applicazione su un server SMB, Windows in realtà richiede due copie del file eseguibile: una viene normalmente aperta, l’altra viene inviata a Windows Defender per la scansione di sicurezza. Siccome i server SMB riescono a distinguere le due richieste, e quindi conoscono la destinazione di ogni copia del file, un server “cattivo” potrebbe inviare un eseguibile infetto a Windows, e uno pulito a Windows Defender.

Illusion Gap bypassa Windows Defender security center

Fonte

Illusion Gap bypassa Windows Defender security center

Illusion Gap bypassa Windows Defender security center

È chiaro che si tratta di circostanze limite, difficili da replicare nel piccolo delle nostre abitazioni e probabilmente anche in un’azienda. È anche per questo che Microsoft ha risposto al ricercatore che ha fatto la scoperta di non considerarla una falla – al limite una feature da implementare.

I ricercatori di sicurezza di CyberArk hanno scoperto una nuova tecnica che consente al malware di ignorare Windows Defender, il software di sicurezza standard incluso in tutti i sistemi operativi Windows.

La tecnica – soprannominata Illusion Gap – si basa su una miscela sia dell’ingegneria sociale che dell’uso di un server SMB rogue.
Per avere successo, un attacco richiede che un utente esegua contenuto da una condivisione SMB non attendibile, con il supporto di un server SMB custom che può modificare il proprio comportamento in base al pattern di accesso.
Per il ricercatore la questione è invece diversa:
Il lavoro di Windows Defender è scansionare e identificare file dannosi. Questa vulnerabilità permette ai file di sfuggire alla scansione di Windows Defender

AMCOMPUTERS

[Voti: 0    Media Voto: 0/5]

Lascia un commento