Hogyan törtek be a kutatók a Microsoft Defender-be?
„A Defender és az Imitátor” - Hogyan jártak túl a Windows Malware Biztonságán a kutatók?
Egy Black Hat tájékoztató keretében ismertették azt a mára már kijavított sérülékenységet, amely egy régi tanulságot hoz újra előtérbe: „Ne bízz meg senkiben.” LAS VEGAS – A legrosszabb dolog, amit egy károkozóval szembeni védekezés elkövethet, nem az, hogy elmulasztja felismerni az ellenséges kódot a számítógépen, hanem ha maga is úgy viselkedik, mint egy károkozó. Egy Black Hat biztonsági konferencián két kutató bemutatta, hogyan tudták oly mértékben kompromittálni a Microsoft Defender alkalmazást, hogy annak következményeképpen egy Windows rendszert elindíthatatlanná tettek.
„Sikerült frissítenünk a Defender-t egy hamis, aláíratlan adatbázissal, egy nem privilégizált felhasználói jogosultsággal,” fogalmazta meg Omer Attias, a SafeBreach biztonsági kutatója.
A nemerégiben tartott előadásban és a SafeBreach blogján hamarosan megjelenő összefoglalóban Attias és a SafeBreach biztonsági kutatásokért felelős alelnöke, Tomer Bar bemutatta, hogyan sikerült feltörniük a Microsoft biztonsági eszközének frissítési mechanizmusait, és hogyan fedeztek fel egy sérülékenységet, amellyel meg tudták mérgezni az adatbázist.
Egy sor próbálkozás után – „Kiderült, hogy ez jóval bonyolultabb, mint elsőre hittük” – a kutatók egy módszert találtak a Microsoft digitális aláírás-ellenőrzéseinek kijátszására. A trükk lényege az volt, hogy módosították az érvényesítési mezőket azokban az adatbázisfájlokban, amelyeket minden Defender frissítéssel küldtek: az egyik tartalmazza az összes ismert károkozóval kapcsolatos fenyegetéseket, a másik pedig a legfrissebb változásokat.
Első tesztjük során a „wd-pretender” alkalmazást alkalmazták azon adatbázis-rekordok törlésére, melyek a LaZagne nevű jelszó-visszaállító eszközt azonosították, mint hackelő eszközt. Ezzel a Defender-t megtévesztették, így az alkalmazást zavartalanul le tudták tölteni.
Ezt követően célba vették a Defender „FriendlyFiles” listáját, amelyben ismert és biztonságosan futtatható fájlok találhatóak. Egy bejegyzést módosítottak, amely az Oracle VirtualBox emulációs szoftverének futtatókönyvtárának hash értékét tartalmazza, egy olyanra, ami a Mimikatz nevű jelszó-visszaállító eszköz hash értékével egyezik. Ennek eredményeképpen a Defender engedélyezte az alkalmazás letöltését és futtatását.
A harmadik lépés során azt a stratégiát alkalmazták, hogy a Microsoft rendszerét tovább kijátszva egy Emotet bot rekordját módosították úgy, hogy tartalmazott egy DOS-módban való inkompatibilitásra vonatkozó figyelmeztetést, ami több rendszerfájlban is előfordul. Ezzel a Defender-t belső fenyegetésnek tették ki, melynek következményeként a következő támadás során a gazda rendszert teljesen tönkretették. „Az operációs rendszer már nem fog újraindulni, így ez a számítógép teljesen használhatatlanná vált,” mondta Bar.
A kutatás három fő tanulsággal szolgált: „Elsőként, ne bízz meg senkiben”; „Még a legmegbízhatóbb biztonsági eszközök is kijátszhatók és kiskapuként használhatók”; és „A biztonsági szolgáltatóknak minden lépésnél ellenőrizniük kell a bizalom épségét."
A SafeBreach tájékoztatta a Microsoftot az eredményeiről, melyeket a cég azonnal vizsgált és megerősített, majd áprilisban egy frissítést küldött a Defender számára, hogy kijavítsa az érvényesítési sérülékenységet (CVE-2023-24934, ahogyan azt a kormány Nemzeti Sérülékenységi Adatbázisában rögzítették). Tehát, ha a PC-d automatikusan megkapta a Microsoft Defender frissítéseit, ez a kockázat már a tudomásodra hozatala előtt megszűnt.
Forrás: www.pcmag.com
