美國-以色列網路安全公司SafeBreach 的研究人員揭示了以下漏洞: Microsoft Defender 和卡巴斯基的端點偵測和回應 (EDR) 系統可能允許攻擊者遠端刪除受害者電腦上的檔案。這些漏洞利用安全性產品對位元組簽章的依賴來識別惡意軟體,從而導致誤報,導致合法檔案被刪除。 SafeBreach 安全研究副總裁 Tomer Bar 與安全研究員 Shmuel Cohen 在新加坡舉行的黑帽亞洲會議上展示了他們的發現,詳細介紹了他們如何操縱這些安全工具將非惡意文件誤識別為威脅。 strong>
研究人員透過將惡意軟體簽章插入合法檔案(例如資料庫或虛擬機器)來實現這一目標,從而使EDR 系統標記並隨後刪除這些檔案。這種攻擊方法可以透過相對簡單的方式發起,例如在網站上使用包含惡意軟體簽名的名稱註冊新用戶,或在影片評論中插入簽名。刪除這些檔案可能會中斷依賴它們的服務,從而給受影響的系統帶來重大風險。儘管向各自公司報告了這些發現,研究人員指出,由於安全產品的固有設計,這些漏洞仍然可以被利用。一種機制,用於在EDR 自己的進程之一內執行惡意程式碼。閱讀研究部落格以了解更多資訊並了解您可以採取哪些措施來保護您的組織。 https://t.co/nAmOeSnaaf pic.twitter.com/8QqmV3LKVR
—SafeBreach ( @safebreach) 2024 年4 月19 日
回應與緩解
Microsoft 透過發布修補程式來回應SafeBreach 的調查結果(CVE-2023-24860 及更高版本CVE-2023-3601) 旨在減輕漏洞。然而,SafeBreach 能夠繞過最初的補丁,促使微軟採取進一步行動。此後,該公司實施了其他措施,包括白名單以及用戶可以將 Defender 配置為隔離而不是刪除標記檔案的選項。另一方面,卡巴斯基最初並未發布修復程序,稱該問題是產品設計造成的。他們後來提出了解決該問題的改進計劃。儘管做出了這些努力,研究人員表示,要徹底解決該漏洞,需要對所涉及的產品進行重大重新設計。侵害的複雜性。研究人員強調不要僅依賴修補程式作為防禦機制,並提倡採用多層安全方法,並承認安全控制中的漏洞可能會導致意外且可能被繞過的行為。網路安全研究人員和軟體供應商之間的持續對話在識別和減輕此類漏洞方面發揮著至關重要的作用,強調了
