Ошибка в системе безопасности AMSI позволяет обходить антивирусную защиту Windows 10
Новости
В феврале Microsoft исправила уязвимость в AMSI, которая позволяла встраивать вредоносный код в программы и обходить системы защиты.
1К открытий1К показов
В феврале разработчик из Ванкувера обнаружил ошибку в работе AMSI. Баг позволяет встраивать вредоносный код в законные программы и обходить антивирусы. Microsoft уже исправила эту уязвимость и выпустила обновление для системы безопасности.
Принцип работы AMSI
Система Anti-Malware Scan Interface внедрена в Windows 10, но является независимой разработкой и использует любой антивирус, который установлен на ПК, а не только встроенный Windows Defender.
Microsoft разработала AMSI для проверки скриптов, использующихся во время выполнения кода, например, PowerShell, VBScript, Ruby и других, поэтому AMSI может сканировать все типы файлов.
Суть ошибки и как ее нашли
Специалист по безопасности Сатоши Танда обнаружил, что AMSI сканирует файл только до нулевого символа, игнорируя последующие данные. Злоумышленнику остается скрыть вредоносные команды за нулевым символом, чтобы обойти проверку AMSI.
Сатоши написал в своем блоге пост, где подробно описаны технические детали и примеры того, как можно загрузить и запустить файлы и команды PowerShell с вредоносным кодом, скрытым в нулевом символе.
Ошибка, которую обнаружил Сатоши Танда, затрагивает только интерфейс PowerShell AMSI. Сам компонент WSH остается без изменений. Сатоши советует разработчикам средств безопасности уделить больше внимания тестированию своего ПО, если они используют AMSI для сканирования содержимого PowerShell.
Напомним, что использование легальных лазеек все чаще встречается среди вредоносных программ, чем не преминули воспользоваться хакеры Coinhoarder.
1К открытий1К показов