Όπως φαίνεται ότι το Windows Defender των Windows 11 μπορεί να παρακαμφθεί, επιτρέποντας σε κάποιο κακόβουλο λογισμικό να αποφύγει το sandbox και να αποκτήσει πρόσβαση στο λειτουργικό σύστημα.
Ο ερευνητής ασφαλείας @an0n_r0 περιγράφει το κενό ασφαλείας με πολύ λίγες πληροφορίες, αλλά επιτρέπει την εξαγωγή διαφόρων συμπερασμάτων.
Ο ερευνητής επέλεξε τα Windows 11 για να ελέγξει την ασφάλεια του Windows Defender. Στόχος του ήταν να ξεφύγει από το sandbox, το οποίο υποτίθεται ότι απομονώνει τον κακόβουλο κώδικα. Έγραψε λοιπόν ένα κρυπτογραφημένο shell που στέλνει τον κακόβουλο κώδικα στη μνήμη.
Η όλη διαδικασία μπορεί να ενεργοποιηθεί από απόσταση. Στο παρακάτω tweet, τα screenshots δείχνουν ότι όλα τα βήματα της επίθεσης λειτούργησαν και ο κώδικας του shell ήταν σε θέση να ανακτήσει δεδομένα από τα Windows και να τα εμφανίσει σε ένα παράθυρο.
#windows11 Defender bypass (worked for #meterpreter):
– basic sandbox evasion
– decrypt encrypted shellcode to memory
– create process in suspended state
– copy shellcode into allocated mem in remote process
– create remote threadthat's all. no need for special arsenal. :) pic.twitter.com/YZNB6sV0mN
— an0n (@an0n_r0) October 18, 2021
Ο ερευνητής ασφαλείας δεν έδωσε περισσότερες λεπτομέρειες για το πώς κατάφερε αυτά τα βήματα, αλλά αναφέρει ότι “λειτουργεί με το Meterpeter”.
Το Meterpreter είναι ωφέλιμο φορτίο για επιθέσεις μέσω του Metasploit. Παρέχει ένα διαδραστικό shell, μέσω του οποίου ένας εισβολέας μπορεί να εξερευνήσει τον υπολογιστή-στόχο και να τρέξει κώδικα.
Το Meterpreter λειτουργεί χρησιμοποιώντας DLL injection στη μνήμη και ο κακόβουλος κώδικας φορτώνεται εξ ολοκλήρου στη μνήμη. Δεν γράφει τίποτα στον σκληρό δίσκο, ούτε δημιουργεί νέες διεργασίες. Έτσι το αποτύπωμα μιας τέτοιας επίθεσης είναι πολύ περιορισμένο.