Изследователи от американско-израелската организация за информационна сигурност SafeBreach обсъдиха недостатъците в продуктите за сигурност на Microsoft и Kaspersky, които потенциално могат да позволят изтриване на файлове. Това се случи по време на конференцията Black Hat Asia в Сингапур.
Вицепрезидентът на SafeBreach за изследвания в областта на сигурността Томер Бар и изследователят в областта на сигурността Шмуел Коен обясниха, че Microsoft Defender и EDR (Endpoint Detection and Response) на Kaspersky могат да откриват фалшиви положителни индикатори за злонамерени файлове – и след това да ги изтриват.
Атаката разчита на факта, че Microsoft и Kaspersky използват байтови сигнатури – уникални последователности от байтове в заглавията на файловете – за откриване на зловреден софтуер.
Изследователите обясниха, че техният план е да заблудят EDR, като вградят сигнатури на злонамерен софтуер във валидни файлове, така че системата да ги разпознае като потенциално злонамерени.
За да постигнат това, Бар и Коен първо използват платформата VirusTotal, за да намерят байтова сигнатура, свързана със злонамерен софтуер. След това я вмъкват в базата данни на EDR. Те изпълняват този процес, като създават нещо като нов потребител с име, което включва съответната сигнатура.
По този начин програмата EDR счита, че базата данни, съхраняваща сигнатурата, е заразена със злонамерен софтуер.
Изследователите стигат до извода, че изтриването на файлове от EDR е необратимо от инструментите за сигурност – възстановяването на данните означава връщане към резервни копия.
Последиците от това обаче остават неизвестни.
“Наистина си мислехме, че можем да атакуваме облака Azure с тази атака, но се притеснихме да опитаме, защото не знаем последствията. Наистина бихме могли да унищожим производствената база данни по целия свят и това може да е необратимо”, казва Шмуел Коен.
Поради това SafeBreach докладва своите открития на Microsoft през януари 2023 г., а през април същата година бяха издадени CVE-2023-24860 и кръпка.
Към този момент Kaspersky не издал поправка. Доставчикът на продукти за сигурност заяви, че проблемът не се дължи на уязвимост в сигурността, а по-скоро на дизайна на продукта. Въпреки това, той призна, че планира някои подобрения, за да се справи с този проблем.
Коен сподели, че по-късно тествал продукта на Kaspersky и изглежда, че внесените подобрения са работили.
“Решихме да се фокусираме върху Defender не защото е на Microsoft, а защото е много по-широко разпространен от Kaspersky,” поясни той.
Проблемът със защитата от отдалечено изтриване на данни в Microsoft Defender е сложен за решаване. Коен счита, че Microsoft знае за проблема и е предложил съдействие, но недостатъците са толкова дълбоко вкоренени в продукта, че изцяло да ги отстрани изисква значителни промени в дизайна на софтуера.
Позицията на Microsoft е, че потребителите могат да предприемат различни мерки за намаляване на риска, като поставят файлове в защитени папки или променят конфигурациите на системата.
Изследователите Коен и Бар считат, че уязвимостите, свързани с отдалечено изтриване, са особено трудни за отстраняване, особено когато сигурността на системата се основава на откриване на байтови сигнатури.
Defender и Kaspersky не са единствените, които изпитват затруднения с EDR като инструмент за нападение. По време на друга презентация на Коен, фокусирана върху Cortex XDR на Palo Alto Networks, той подробно описа как е заобиколил значителни функции за сигурност на продукта за борба със зловреден софтуер.
ГЛЕДАЙТЕ: Къде Инвестират ИТ Специалистите? Успешните Стратегии – Част 1
ГЛЕДАЙТЕ: Къде Инвестират ИТ Специалистите? Успешните Стратегии – Част 2
ГЛЕДАЙТЕ: ИТ Индустрията във Варна – част 2 | Епизод 2 | The BIG TECH #BG | DevStyleR
Прочетете още:
1. ОТ ПЪРВО ЛИЦЕ: РАЗХОДКА ИЗ НОВИЯ ОФИС НА DELASPORT
2. Microsoft Разширява Капацитета на Центровете за Данни
3. Meta Пусна Първите Два Модела Llama 3
