Uma vulnerabilidade severa no processo de atualização do Windows Defender permite que os invasores com privilégios de administrador desativem o serviço de segurança e manipule seus arquivos principais.
A técnica, que aproveita uma falha na forma como o Defender seleciona sua pasta de execução, pode ser realizada usando ferramentas já disponíveis no sistema operacional do Windows.
A vulnerabilidade foi detalhada por Zero Salaria, que explorou a batalha contínua entre atacantes e sistemas de proteção de pontos finais.
Enquanto as equipes vermelhas geralmente se concentram em fugir da detecção, esse método permite a neutralização total do próprio software de defesa.
Explorando o mecanismo de atualização
O núcleo da exploração está na maneira como o serviço Windefend lida com as atualizações da versão. O Windows Defender armazena seus arquivos executáveis em uma pasta de versão localizada no ProgramData \ Microsoft \ Windows Defender \ Platform \.
Quando o serviço inicia ou atualiza, ele digitaliza este diretório de plataforma e seleciona a pasta com o número mais alto da versão como seu novo caminho operacional.
Embora a Microsoft proteja essas pastas de ser modificada, o pesquisador descobriu que um usuário com direitos de administrador ainda pode criar novas pastas no diretório da plataforma.
Essa supervisão permite que um invasor manipule o processo de atualização. Ao criar um link simbólico (link simbólico) com um número de versão maior que o atual, um invasor pode redirecionar o serviço Defender para uma pasta totalmente diferente e controlada por atacantes.
O ataque é realizado em algumas etapas:
Primeiro, o invasor copia os arquivos executáveis legítimos do Windows Defender para um novo local não garantido (por exemplo, c: \ tmp \ av). Em seguida, usando o comando mklink, eles criam um link simbólico dentro da pasta da plataforma protegida. Este symlink recebe um nome que parece ser uma versão mais recente do Defender e aponta para a pasta não segura criada na primeira etapa. Após o reinício do sistema próximo, o serviço Windefend identifica o símbolo como a versão mais recente e inicia seus processos do diretório controlado por atacantes.
Depois que o controle é estabelecido, o invasor tem acesso completo a leitura/gravação ao Defender de arquivos. Isso permite vários resultados maliciosos.
Por exemplo, um invasor poderia plantar uma DLL maliciosa na pasta para realizar um ataque de carregamento lateral da DLL, executando código malicioso no processo de defensor confiável.
Mais simplesmente, eles poderiam destruir os arquivos executáveis, impedindo que o serviço funcione.
Em uma demonstração, o pesquisador mostrou que, ao simplesmente excluir o link simbólico após o seqüestro, o Serviço de Defender não encontra seu caminho executável na próxima execução.
Isso efetivamente interrompe o serviço e desativa toda a proteção contra vírus e ameaças em tempo real, deixando a máquina vulnerável.
Encontre esta história interessante! Siga -nos no Google News, LinkedIn e X para obter mais atualizações instantâneas.
