Windows | Bezpečnost | Antivirus

Nový typ malwaru donutí antiviry Defender, Avast nebo AVG, aby smazaly vaše soubory

Když se před pár lety vedla debata o smyslu antivirů, jeden z argumentů proti nim poukazoval na to, že antiviry se mohou samy stát bezpečnostním rizikem. Primárně to platí pro produkty třetích stran, které ve Windows prosazují agresivní strategie pro zavedení ochrany. Není to planá obava, antiviry někdy opravdu mohou umést cestu malwaru.

V prosinci o tom na konferenci Black Hat Europe 2022 promluvil Or Yair, bezpečnostní výzkumník z firmy SafeBreach. Proklepnul si jedenáct řešení pro ochranu tzv. koncových bodů, k nimž patří i notebooky. Z toho se šest produktů ukázalo být děravých ve smyslu, že by umožnily malwaru řádit v počítači.

Šlo o tato bezpečnostní řešení:

  • Microsoft Defender,
  • Microsoft Defender for Endpoint,
  • Trend Micro Apex One,
  • Avast,
  • AVG,
  • SentinelOne EDR.

Na seznamu nechybí jedny z nejprovařenějších antivirů včetně toho, který je přímo integrovaný ve Windows a poskytuje ochranu více než půl miliardě počítačů – aspoň to tak bylo před třemi roky.

To je potenciálně problém obřích rozměrů, neboť Yair ukázal, jak lze do počítačů nasadit malware, který vymaže úložiště. Nepotřebuje k tomu ani účet se správcovskými právy. Metodu nazval Aikido podle japonského bojového umění. Malware může zranitelné antiviry přinutit, aby mazaly i systémové soubory. Potenciálně byste se mohli dostat do situace, když Windows nenastartují.

2022-12-12_19-25-58.png
Nový typ malwaru dovede některé antiviry přinutit k mazání souborů
a neochrání je ani ochrana proti manipulaci se soubory

Mazání neušly ani soubory zabezpečené ochranou proti ransomwaru, kterou Windows nabízí od roku 2017. Protože soubory maže antivirus, který je sám pro sebe důvěryhodnou entitou, tak proti svému chování nezasáhne. Yair využil prodlevy mezi dobou, kdy antivir objeví škodlivý soubor, a kdy jej smaže. Někdy se smazáním totiž čeká na restart počítače. V tomto momentě je možné ovlivnit cestu k souboru, takže antivirus následně odstraní jiný soubor, než si předsevzal.

Bezpečnostní výzkumník zranitelná místa objevil před útočníky, což je ten lepší případ, protože pokud výrobci zareagují, díry při troše štěstí nikdo nestihne (plošně) využít. Podle výzkumníka v době zveřejnění již byly postižené produkty záplatované s výjimkou SentinelOne. Jeho výrobce zatím opravu nepotvrdil.

Zdroje: Black Hat Europe 2022 via Dark Reading | Zdnet

Diskuze (24) Další článek: Experiment s jadernou fúzí poprvé vyrobil víc energie, než spotřeboval. Teď víc a levněji

Témata článku: , , , , , , , , , , , , , , , , , , ,