61

Programy antywirusowe pod obstrzałem. Najlepsze wyjście? Windows Defender

Odkryto nowego zero-day'a wycelowanego w popularne programy antywirusowe. Atakujący wykorzystujący lukę w Weryfikatorze Aplikacji może spowodować uzyskanie kontroli nad oprogramowaniem zabezpieczającym system Windows. Co ciekawe, twórcy DoubleAgent'a wykorzystali bardzo starą, bo 15-letnią lukę obecną od wersji... XP.

Wykorzystując Weryfikator Aplikacji, atakujący może wstrzykiwać własne procedury weryfikujące wewnątrz dowolnej aplikacji – w idealnej dla cyberprzestępcy sytuacji, do programu antywirusowego. W przypadku takiego scenariusza, program antywirusowy mający wiele uprawnień w systemie Windows może stać się przepustką do dokonania szkód w oprogramowaniu. Atakujący, który uzyska dostęp do pakietu ochronnego będzie w stanie wykonać sporo szkodliwych z punktu widzenia użytkownika operacji i dodatkowo – każda z nich będzie uważana za bezpieczną.

Możliwość wykonania tej operacji jest dostępna w oprogramowaniu: Avast, Avira, Bitdefender, Comodo, Trend Micro, F-Secure- ESET, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal oraz Norton. Dodatkowo, atakujący może wykorzystać wewnętrzne mechanizmy systemu po to, aby utrzymać działanie zmodyfikowanego oprogramowania nawet po zainstalowaniu aktualizacji, poprawek, wykonaniu ponownego uruchomienia, a nawet reinstalacji systemu. Wskazuje się ponadto na możliwość wstrzyknięcia złośliwego kodu do innych zaufanych aplikacji.

Co ciekawe, najbardziej bezpieczny jest w tym przypadku… Windows Defender

Jeżeli dobrze zauważyliście, Windows Defender nie znalazł się na liście oprogramowania, które może zostać w ten sposób zaatakowane. Krytykowana technologia Protected Processes od Microsoftu sprawia, że niemożliwe jest zaatakowanie oprogramowania Windows Defender w ten sposób. Wielokrotnie wskazywaliśmy na to, że pakiet ochronny Microsoftu w wielu przypadkach jest absolutnie wystarczający i pozwala na uniknięcie większości cyberzagrożeń pod warunkiem, że nasz system jest na bieżąco aktualizowany i nie postępujemy lekkomyślnie w trakcie konsumowania zasobów sieci.

windows defender

Brzmi jak ironia losu, prawda? Tak właśnie jest. Luka w systemie Windows pozwala na zaatakowanie programu antywirusowego, ale na atak nie jest podatny Windows Defender z powodu wykorzystywania technologii… również Microsoftu. Przedstawiony przez badaczy atak jest czysto hipotetyczny i nie odnaleziono żadnych dowodów na to, że ktokolwiek pokusił się o wypróbowanie możliwości nowo odkrytej luki w mechanizmach systemu Windows. Nie powinniście się również obawiać na zapas – Microsoft z pewnością wie o tej luce i w najbliższym czasie powinien dostarczyć odpowiednią poprawkę. Również twórcy oprogramowania antywirusowego zadbają o to, by uszczelnić swoje pakiety.

Czy potrzebuję dodatkowej ochrony przeciw wirusom?

Jak wspomniałem w innym tekście na ten temat – wszystko zależy od tego, jak korzystasz z sieci. Jeżeli wiesz co robisz, nie ściągasz byle czego z internetu i raczej nawigujesz po znanych sobie stronach – Windows Defender absolutnie wystarczy. Co innego, jeżeli nie wierzysz pakietowi Microsoftu, a przede wszystkim sobie – warto wiedzieć, że w większości przypadków zwykła rozwaga pomaga uniknąć większości infekcji.