Ang mga mananaliksik mula sa US-Israeli cybersecurity firm na SafeBreach ay nagpakita ng mga kahinaan sa Microsoft Defender at Kaspersky’s Endpoint Detection and Response (EDR) system na posibleng magpapahintulot sa mga umaatake na malayuang tanggalin ang mga file sa computer ng biktima. Sinasamantala ng mga kahinaan ang pag-asa ng mga produkto ng seguridad sa mga byte signature para matukoy ang malware, na nagbibigay-daan sa mga maling positibong humahantong sa pagtanggal ng mga lehitimong file. SafeBreach’s VP of Security Research, Tomer Bar, at security researcher na si Shmuel Cohen iniharap ang kanilang mga natuklasan sa kumperensya ng Black Hat Asia sa Singapore, na nagdedetalye kung paano nila nagawang manipulahin ang mga tool sa seguridad na ito sa maling pagtukoy sa mga hindi nakakahamak na file bilang mga banta.
Pamamaraan ng Pagsasamantala
strong>
Nakamit ito ng mga mananaliksik sa pamamagitan ng pagpasok ng mga lagda ng malware sa mga lehitimong file, tulad ng mga database o virtual machine, na nagiging sanhi ng pag-flag ng mga EDR system at pagkatapos ay tanggalin ang mga file na ito. Ang paraan ng pag-atake na ito ay maaaring simulan sa pamamagitan ng medyo simpleng paraan, tulad ng pagrehistro ng bagong user sa isang website na may pangalan na may kasamang malware signature, o paglalagay ng signature sa isang komento sa isang video. Ang pagtanggal ng mga file na ito ay maaaring makagambala sa mga serbisyong umaasa sa kanila, na magdulot ng malaking panganib sa mga apektadong system. Sa kabila ng pag-uulat ng mga natuklasang ito sa kani-kanilang mga kumpanya, nabanggit ng mga mananaliksik na ang mga kahinaan ay maaaring manatiling mapagsamantala dahil sa likas na disenyo ng mga produktong panseguridad.
Nagawa ng researcher ng SafeBreach na si Shmuel Cohen na i-bypass ang anti-tampering. mekanismo ng isang nangungunang EDR upang magsagawa ng malisyosong code sa loob ng isa sa mga sariling proseso ng EDR. Basahin ang blog ng pananaliksik upang matuto nang higit pa at makita kung ano ang maaari mong gawin upang protektahan ang iyong organisasyon. https://t.co/nAmOeSnaaf pic.twitter.com/8QqmV3LKVR
— SafeBreach ( @safebreach) Abril 19, 2024
Tugon at Pagbawas
Tumugon ang Microsoft sa mga natuklasan ng SafeBreach sa pamamagitan ng pagbibigay ng mga patch (CVE-2023-24860 at mas bago CVE-2023-3601) na naglalayong pagaanin ang kahinaan. Gayunpaman, nagawang i-bypass ng SafeBreach ang paunang patch, na nag-udyok ng karagdagang pagkilos mula sa Microsoft. Ang kumpanya ay nagpatupad na ng mga karagdagang hakbang, kabilang ang isang whitelist at ang opsyon para sa mga user na i-configure ang Defender sa quarantine sa halip na tanggalin ang mga na-flag na file. Ang Kaspersky, sa kabilang banda, ay hindi unang naglabas ng pag-aayos, na nagsasaad na ang isyu ay resulta ng disenyo ng produkto. Kalaunan ay nagpahiwatig sila ng mga plano para sa mga pagpapabuti upang matugunan ang isyu. Sa kabila ng mga pagsisikap na ito, iminumungkahi ng mga mananaliksik na ang ganap na pagresolba sa kahinaan ay mangangailangan ng makabuluhang muling pagdidisenyo ng mga produktong kasangkot.
Ang mga natuklasan ng SafeBreach ay nagha-highlight sa pagiging kumplikado ng pag-secure ng mga modernong computer system laban sa mga makabagong vector ng pag-atake. Binibigyang-diin ng mga mananaliksik ang kahalagahan ng hindi umaasa lamang sa mga patch bilang isang mekanismo ng pagtatanggol at nagtataguyod para sa isang multi-layered na diskarte sa seguridad, na kinikilala na ang mga kahinaan sa mga kontrol sa seguridad ay maaaring humantong sa mga hindi inaasahang at potensyal na bypassable na pag-uugali. Ang patuloy na pag-uusap sa pagitan ng mga mananaliksik sa cybersecurity at mga nagtitinda ng software ay gumaganap ng mahalagang papel sa pagtukoy at pagpapagaan ng mga naturang kahinaan, na binibigyang-diin ang
