Illusion Gap bypassa Windows Defender, ma per Microsoft non è una falla

28 Settembre 2017 51

Sono stati pubblicati da poco i dettagli di una potenziale vulnerabilità del server SMB che potrebbe permettere, in determinate (e difficili da replicare) circostanze, di bypassare la scansione di sicurezza di Windows Defender e conseguentemente infettare un computer con qualsiasi tipo di malware.

La teoria alla base dell'exploit è che quando viene lanciata un'applicazione su un server SMB, Windows in realtà richiede due copie del file eseguibile: una viene normalmente aperta, l'altra viene inviata a Windows Defender per la scansione di sicurezza. Siccome i server SMB riescono a distinguere le due richieste, e quindi conoscono la destinazione di ogni copia del file, un server "cattivo" potrebbe inviare un eseguibile infetto a Windows, e uno pulito a Windows Defender.

È chiaro che si tratta di circostanze limite, difficili da replicare nel piccolo delle nostre abitazioni - e probabilmente anche in un'azienda. È anche per questo che Microsoft ha risposto al ricercatore che ha fatto la scoperta di non considerarla una falla - al limite una feature da implementare.

Per avere successo, un attacco richiede che un utente esegua contenuto da una condivisione SMB non attendibile, con il supporto di un server SMB custom che può modificare il proprio comportamento in base al pattern di accesso.

Per il ricercatore la questione è invece diversa:

Il lavoro di Windows Defender è scansionare e identificare file dannosi. Questa vulnerabilità permette ai file di sfuggire alla scansione di Windows Defender, ergo Windows Defender non fa il suo lavoro.

"Illusion Gap", così è stato chiamato l'exploit, è un terreno del tutto nuovo, e non è chiaro se antivirus di terze parti riescono o meno a identificare correttamente la minaccia.


51

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Boronius

Se il server è stato compromesso può accadere di tutto...

MasterBlatter

Se devi avere il server aziendale infetto per sfruttare il bug, il problema è a monte, e se hai modo di bucare quello puoi bucato direttamente gli altri pc

Sagitt

Lol

Si potrebbe sostituire SMB con R&R...

XD

C#dev è il ricercatore... Suvvia... È semplice... XD

C#Dev

Il fatto che in teoria deve essere criptato significa che non può avere errori di funzionamento.

Fattene una ragione.

E' stato scoperto il contrario.
E non lo scrivo mica io.
Se vuoi andare a spiegare le tue ragioni ad un ex-dipendente del settore informatico dell'NSA allora sei il benvenuto :)

al404

forse per chi non usa macOS non è chiaro

su macOS determinate operazioni che richiedono l'autorizzazione da amministratore necessitano di reinserire la password
può essere l'installazione di un app che scrive fuori dalla cartella dell'utente o un altra operazione

comunque a CDev è stato spiegato più volte, e non solo da me
ma evidentemente è dev solo nel nome

faber80_

onestamente l'ho pensato pure io leggendo "permette alle app di carpire le password immagazzinate in Keychain senza l'immissione di una password" che di solito significa già decriptatae senza fare login. Boh cmq è strano.

al404

non sono andato a fondo, ho provato ad eseguire la stinga sulla mia macchina e mi compare un avviso

sfruttano un processo che dovrebbe poi chiedere la password di amministrazione per poter esportare i dati in chiaro dal portachiavi ma non lo fa

la diatriba con CDEV va a vanti da alcuni articoli :-)
nessuno nega ci sia un exploit, ma non riesce a capire che il portachiavi è CRIPTATO ( mi pare a 256 bit ) e non salva i dati in chiaro come più volte ha scritto https://uploads.disquscdn.c...

faber80_

quindi sfruttano una falla per prendere il dato decriptato dall'app stessa?

al404

il portachiavi una volta fatto il login viene sbloccato automaticamente

se prendi un file portachiavi e lo copi su un altra macchina ti chiederà la password per aprirlo

faber80_

aldilà dell'exploit/falla in questione, un dato effettivamente criptato resta tale, lo puoi copiare e forzarlo ma è altro discorso. Quindi ho qualche dubbio sulla chiave di criptazione.
"...Il tutto avviene automaticamente e senza bisogno di interazione da parte dell'utente, a parte l'installazione dell'app malevola."
Cioè neanche si tratta di decriptazione, che richiederebbe molto tempo.

al404

non è inventato ma CDev sostiene che il portachiavi non sia criptato, il che non è vero
con un exploit sono riusciti ad esportare le credenziali in determinate condizioni

faber80_

nell'articolo di hdblog c'è scritto che l'ha scoperto un ex dipendente dell'NSA. Non sembra inventato.

al404

allora ti prego illuminami dove ha scritto questa cosa, se preferisci anche con una screenshot e un link alla fonte

C#Dev

Ah, no?

:)

Peccato che lo scrive nero su bianco lo stesso scopritore dell'hack.

Pensi di saperne più di lui? Mica lo scrivo io.

E, anzi, scrive anche che è possibile fare tutto ciò senza nessun privilegio di root.

Complimenti per l'informazione che fate.

takaya todoroki

Nello scenario si presuppone che il tuo server aziendale sia infettato.
Beh, in bocca al lupo a tenere i client al sicuro, LOL (leggasi: ha ragione MS a dire che Defender non c'entra nulla)

Orlaf

E le bastonate non finiscono mica qua.

Ma quante ne acchiapperai ancora? Ahahahaha

Rick Deckard®

Beh insomma...
C'è chi è andato oltre facendo anche Delle scelte

al404

secondo me ci stai trollando, non ci credo che scrivi ancora la panzana dello storage di password in chiaro

al404

ero entrato per scrivere la stessa cosa

boosook

ma non e' SMB il problema, e' Windows a richiedere due differenti copie del file! Dovrebbe richiederne una sola e quella stessa deve essere inviata a Defender per la scansione. E' un errore di design bello e buono, di Windows e di Defender, che comunque e' parte di Windows.

Federico

Windows ormai ha un buon kernel, sono tutte ste tecnologie di contorno a non reggere più.
Ma non è che sia solo una questione di Windows, è tutto

Rick Deckard®

Bisognerebbe chiudere Windows è ricominciare da 0

Rick Deckard®

Raga ho fatto un antivirus
Basta copiare il codice su un blocco note e rinominarlo .exe
Copiate il codice qui <ciao>

PS ci potrebbe essere qualche gestire non ancora implementata ma 0 falle fin'ora scoperte.

Federico

Se si dovesse scrivere da zero un OS nel 2017 i criteri sarebbero completamente diversi da quelli degli attuali.
Ogni volta che accendiamo un computer stiamo usando l'evoluzione di roba scritta fra il 1960 e la fine del 1970, come a dire che quelli non avevano neanche la più vaga idea di dove si sarebbe andato a parare.
Per carità, le buone idee ci sono state... penso ad esempio al filesystem basato su database cui pensava Microsoft o all'OS totalmente distribuito di Tabenbaum o anche allo stesso .NET Framework che nella formulazione iniziale doveva essere un ambiente unico di sviluppo ed esecuzione in grado di far convergere in modo sicuro e totalmente portabile il software di tutte le piattaforme.
Ma non si è mai fatto niente, e se dovessimo buttare via tutto quello che ormai è inattuale forse l'unica cosa a sopravvivere sarebbe il kernel Neutrino di QNX.
Il resto è tutta roba derivata da anticaglie ed è questo a creare problemi su problemi.

snke

Proprio oggi stavo pensando di rimpiazzarlo con un antivirus di terze parti lol

Anal Natrak

Che bella idea. Del casso.

Sagitt

SMB, FAT, NTFS.... cosa dimentico?

Tony Musone

AHAHAHAHAH
Ma cosa vuoi argomentare ... Chiunque l'abbia fatto tu poi l'offendi e frigni come un bimbo ... SEI MALATO ... CURATI!

Però devo ammetterlo un po' mi fai tenerezza ;)

C#Dev

Sto ancora aspettando una singola volta in cui argomentate quello che dite.

E tra parentesi non è che andate contro me ma contro quello che l'ha scoperta.

Forza, argomentate :)

Sagitt

non c'è bisogno mr ikea che deve risparmiare

Tony Musone

AHAHAAHAHA
ECCOLO! Ma CIAO !
hai finito di giocare coi trenini?
AHAHAHAHAHAH

C#Dev

Sì, hai ragione.
Musone è proprio povero di intelletto.

Sei capace di controbattere anche ad una sola Delle parole che ho scritto?

No, mi dispiace.

Sagitt

ECCOLOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO

Oh...... povero.......

Sagitt

dov'è c#dev?..... comunque è una feature!!

C#Dev

Cioè tu sei talmente cretin0 da paragonare questo a macOs che fa storage di password in chiaro e che può essere eseguito da app firmate e non e senza permessi di root?

Ahah ma allora sei tutto sc3mo!

Gios

Tranquilli su, non é un bug, lo sapevamo anche noi ma abbiamo fatto finta di niente

Gios

A creare nuove feature!

Federico

Concordo pienamente, ma è impossibile perchè è implementato pure nei frullatori.
Come ho scritto ad un altro utente è uno di quei fossili che ci tiriamo dietro da un'epoca che non ha più niente a che fare con la nostra.

Georgi Mihaylov

adesso voglio vedere dove sono i difensori del defender ???

Simone

SMB andrebbe eliminato del tutto

Simone

Dovrebbero rimuoverlo del.tutto SMB

Federico

Purtroppo SMB è implementato in troppe cose per poterne alterare in modo sensibile le caratteristiche.
Si tratta di una delle tante cariatidi provenienti da un passato in cui tutto era diverso, delle quali è impossibile disfarsi.

Zapic99

https://uploads.disquscdn.c...

Federico

Le circostanze descritte non sono affatto difficili da riprodurre, ma ha ragione Microsoft sostenendo che Defender non c'entra niente.
Semmai il problema risiede nella gestione (curiosamente inutile) della doppia copia tramite protocollo SMB.

TeoCrysis

Il problema è SMB stesso, immagino che mettere un filtro di qualche tipo renderebbe del tutto inutile il protocollo.

Tony Musone

Ahahahahah
C#Dev

Dove seiiiiiiii?

Super Farro Vintage

Windows Defender è un'illusione...
https://uploads.disquscdn.c...

BlackX

in effetti e come se devi evitare che l'utente metta la password "password"

HDblog @ Computex 2018: live blog continuo dalla fiera

Tutte le novità di Windows 10 1803 "April 2018 Update"

Guida Acquisto: i migliori Notebook, Ultrabook e 2-in-1 | #NATALE 2017

Windows 10 1709 Fall Creators Update disponibile: tutte le novità