Na konferencji o bezpieczeństwie Black Hat, dwóch badaczy pokazało, jak bardzo zaszkodzili aplikacji bezpieczeństwa Microsoft Defender. Byli tak zręczni, że ich działania sprawiły, że system Windows przestał działać.
“Udało nam się podszyć pod aktualizację Defendera fałszywą, niepodpisaną bazę danych od zwykłego użytkownika” – powiedział Omer Attias, który bada bezpieczeństwo w firmie SafeBreach.
W skrócie, badacze wyjaśnili, że podjęli próbę zrozumienia, jak działa aktualizacja programu bezpieczeństwa Microsoft, a potem odkryli pewną lukę, która pozwoliła im na dodanie fałszywych informacji. Po wielu próbach i błędach, odkryli sposób, aby obejść testy sprawdzające, czy aktualizacje pochodzą od firmy Microsoft. Okazało się to trudniejsze, niż myśleli. Wykorzystali trik, który pozwolił im zmienić dane w plikach bazy danych bez zaszyfrowania, które były wysyłane w każdej aktualizacji Defendera.
Efektem było to, że w pierwszym teście usunęli dane o pewnym narzędziu do odzyskiwania haseł, które Microsoft klasyfikuje jako niebezpieczne. Dzięki temu udało im się pobrać i uruchomić to narzędzie, a Defender się nie zorientował.
W kolejnym kroku, podstawili dane o bezpiecznym programie tak, jakby był to niebezpieczne narzędzie. I to zadziałało – Defender pozwolił na pobranie i uruchomienie tego narzędzia.
W trzecim etapie, zmienili dane o pewnym typie złośliwego oprogramowania, tak aby Defender myślał, że to coś innego. W efekcie Defender zaczął działać jak złośliwe oprogramowanie i spowodował, że komputer przestał się uruchamiać. To oznaczało, że komputer był w praktyce bezużyteczny.
Badacze wyciągnęli trzy wnioski z tych badań: “Nigdy nikomu nie ufaj”, “Nawet najlepsze narzędzia bezpieczeństwa mogą być wykorzystane przeciwko tobie” oraz “Firmy tworzące programy zabezpieczające powinny stale sprawdzać, czy ich zaufanie nie zostało naruszone.”
SafeBreach poinformowało o tych problemach firmę Microsoft, która potwierdziła te zagrożenia i szybko wydała poprawkę w kwietniowej aktualizacji Defendera. Jeśli twój komputer otrzymuje automatyczne aktualizacje od Microsoftu, to problem został naprawiony zanim zdążyłeś się o nim dowiedzieć.
