Ошибка в системе безопасности AMSI позволяет обходить антивирусную защиту Windows 10

В феврале разработчик из Ванкувера обнаружил ошибку в работе AMSI. Баг позволяет встраивать вредоносный код в законные программы и обходить антивирусы. Microsoft уже исправила эту уязвимость и выпустила обновление для системы безопасности.

Принцип работы AMSI

Система Anti-Malware Scan Interface внедрена в Windows 10, но является независимой разработкой и использует любой антивирус, который установлен на ПК, а не только встроенный Windows Defender.

Microsoft разработала AMSI для проверки скриптов, использующихся во время выполнения кода, например, PowerShell, VBScript, Ruby и других, поэтому AMSI может сканировать все типы файлов.

Суть ошибки и как ее нашли

Специалист по безопасности Сатоши Танда обнаружил, что AMSI сканирует файл только до нулевого символа, игнорируя последующие данные. Злоумышленнику остается скрыть вредоносные команды за нулевым символом, чтобы обойти проверку AMSI.

Сатоши написал в своем блоге пост, где подробно описаны технические детали и примеры того, как можно загрузить и запустить файлы и команды PowerShell с вредоносным кодом, скрытым в нулевом символе.

AMSI

Ошибка, которую обнаружил Сатоши Танда, затрагивает только интерфейс PowerShell AMSI. Сам компонент WSH остается без изменений. Сатоши советует разработчикам средств безопасности уделить больше внимания тестированию своего ПО, если они используют AMSI для сканирования содержимого PowerShell.

Напомним, что использование легальных лазеек все чаще встречается среди вредоносных программ, чем не преминули воспользоваться хакеры Coinhoarder.

Источник: Bleeping Computer

Подобрали два теста для вас:
— А здесь можно применить блокчейн?
Серверы для котиков: выберите лучшее решение для проекта и проверьте себя.