Ένα νέο εργαλείο με την ονομασία Defendnot φέρνει στην επιφάνεια σοβαρά ερωτήματα για την ασφάλεια του Microsoft Defender, καθώς καταφέρνει να το απενεργοποιήσει μέσω μιας τεχνικής παραπλάνησης: φαίνεται να προσθέτει ένα άλλο antivirus πρόγραμμα, χωρίς να το έχει εγκαταστήσει στην πραγματικότητα. Με αυτόν τον τρόπο, το Defender νομίζει ότι υπάρχει προστασία από αλλού.
Η μέθοδος που χρησιμοποιεί το Defendnot βασίζεται στην κατάχρηση ενός μη τεκμηριωμένου Windows Security Center (WSC) API. Αυτό το API επιτρέπει στα antivirus να ενημερώνουν τα Windows ότι αναλαμβάνουν τη διαχείριση της προστασίας σε πραγματικό χρόνο. Όταν το λειτουργικό εντοπίσει ένα τέτοιο προϊόν, απενεργοποιεί αυτόματα τον Defender, ώστε να αποφεύγονται πιθανές “συγκρούσεις” ανάμεσα στις διαφορετικές εφαρμογές ασφαλείας.
Ο δημιουργός του εργαλείου, ο ερευνητής es3n1n, κατάφερε να παρακάμψει τους μηχανισμούς ασφαλείας καταχωρώντας ένα εικονικό antivirus που ανταποκρίνεται επιτυχώς σε όλους τους ελέγχους πιστοποίησης του WSC, παρότι δεν υπάρχει πραγματική προστασία.
Δείτε επίσης: Ευπάθειες SSRF: Τι είναι και πώς θα προστατευτείτε
Το Defendnot βασίζεται εν μέρει στο παλαιότερο project no-defender, το οποίο αξιοποιούσε κομμάτια κώδικα από πραγματικό antivirus τρίτου κατασκευαστή για να ξεγελάσει το WSC. Το συγκεκριμένο project κατέβηκε από το GitHub έπειτα από DMCA αίτημα από τον προμηθευτή του antivirus. Όπως εξηγεί ο δημιουργός του no-defender σε σχετική ανάρτηση, όταν το project απέκτησε περίπου 1.500 αστέρια, οι developers του antivirus υπέβαλαν αίτημα για παραβίαση του DMCA και έτσι τα κατέβασε όλα.
Σε αντίθεση με τον προκάτοχό του, το Defendnot δημιουργεί από την αρχή ένα εικονικό antivirus DLL, αποφεύγοντας έτσι προβλήματα πνευματικών δικαιωμάτων.
Αξίζει να σημειωθεί ότι, κανονικά, το WSC API προστατεύεται από τεχνολογίες όπως το Protected Process Light (PPL) και απαιτεί έγκυρες ψηφιακές υπογραφές και άλλες δικλείδες ασφαλείας — ωστόσο το Defendnot φαίνεται να παρακάμπτει αποτελεσματικά και αυτά τα εμπόδια.
Δείτε επίσης: Πώς να εντοπίσετε backdoors σε εταιρικά δίκτυα; (+ tips προστασίας)
Defendnot: Πώς ένα ερευνητικό εργαλείο “ξεγελά” το Microsoft Defender
Το εργαλείο Defendnot καταφέρνει να παρακάμψει τις δικλείδες ασφαλείας του Microsoft Defender, εισάγοντας το κακόβουλο DLL του στην έμπιστη και υπογεγραμμένη από τη Microsoft διαδικασία Taskmgr.exe. Μέσω αυτής της “νομιμοφανούς” διεργασίας, το εργαλείο μπορεί να καταχωρήσει ένα εικονικό antivirus με πλαστό όνομα, παρακάμπτοντας τον έλεγχο αξιοπιστίας του λειτουργικού.
Από τη στιγμή που ολοκληρώνεται αυτή η ψευδής εγγραφή, ο Microsoft Defender απενεργοποιείται άμεσα, αφήνοντας το σύστημα χωρίς καμία ενεργή προστασία.
Το Defendnot συνοδεύεται, επίσης, από ένα ειδικό loader, που διαβάζει παραμέτρους διαμόρφωσης από το αρχείο ctx.bin. Μέσα από αυτό το αρχείο, ο χρήστης μπορεί να ορίσει την επωνυμία του “ψεύτικου” antivirus, να ενεργοποιήσει ή να απενεργοποιήσει την εγγραφή στο WSC και να θέσει επίπεδο λεπτομερούς καταγραφής ενεργειών για ερευνητικούς σκοπούς.
Για να διασφαλίσει persistence στο σύστημα, το Defendnot δημιουργεί ένα autorun μέσω Windows Task Scheduler, που του επιτρέπει να εκκινεί αυτόματα με κάθε επανεκκίνηση ή είσοδο του χρήστη στα Windows.
Αν και παρουσιάζεται ως ερευνητικό project, το Defendnot αναδεικνύει με σαφήνεια πόσο εύκολα μπορεί να εκμεταλλευτεί κάποιος έμπιστες διεργασίες του συστήματος για να παρακάμψει κρίσιμα μέτρα ασφαλείας.
Δείτε επίσης: Τι είναι οι ευπάθειες elevation of privilege και πώς θα προστατευτείτε
Το Defendnot δεν είναι απλώς ένα ακόμα proof-of-concept· είναι μια ηχηρή υπενθύμιση ότι η ασφάλεια δεν πρέπει ποτέ να βασίζεται μόνο στην “υπόθεση καλής πίστης” του λειτουργικού. Η ευκολία με την οποία μπορεί να καταχωρηθεί ένα ανύπαρκτο antivirus ως “εγκεκριμένο” από τα Windows, χωρίς καμία ουσιαστική επιβεβαίωση λειτουργικότητας ή προέλευσης, φανερώνει ένα δομικό πρόβλημα: το οικοσύστημα εμπιστεύεται υπερβολικά εύκολα τα ίδια του τα API.
Παρότι το Defendnot δεν αποτελεί άμεση απειλή για τον μέσο χρήστη, λειτουργεί σαν προειδοποίηση. Αν κάποιος μπορεί να “κατεβάσει τον Defender” με μερικές γραμμές κώδικα και χωρίς καν exploit, τότε τι εμποδίζει ένα οργανωμένο σχήμα κυβερνοεγκλήματος από το να ενσωματώσει την ίδια τεχνική σε ένα πλήρες malware framework;
Ίσως ήρθε η ώρα η Microsoft να επανεξετάσει πιο αυστηρούς ελέγχους ταυτοποίησης για τα προϊόντα που δηλώνονται στο Windows Security Center. Γιατί αν το λειτουργικό σου σύστημα μπορεί να πειστεί τόσο εύκολα ότι προστατεύεται… τότε ουσιαστικά δεν προστατεύεται καθόλου.
Σημειώνεται ότι ο Microsoft Defender πλέον εντοπίζει το Defendnot (“Win32/Sabsik.FL.!ml”) και το μεταφέρει αυτόματα σε καραντίνα.
Πηγή: www.bleepingcomputer.com
