黑帽大會 (Black Hat) 報告與修補程式可能無法完全解決此漏洞

安全研究人員在 4 月 22 日的黑帽亞洲 （Black Hat Asia） 會議上表示，微軟 （Microsoft） 和卡巴斯基 （Kaspersky） 的安全產品存在漏洞，可能允許遠端刪除檔案。他們聲稱，即使廠商聲稱已經修復了該問題，但這個漏洞仍可能被利用。

來自美國和以色列資訊安全公司 SafeBreach 的安全研究副總裁湯馬·巴爾（Tomer Bar）和安全研究員山繆·科恩（Shmuel  Cohen）解釋說，Microsoft Defender 和卡巴斯基的端點偵測和回應 （EDR） 可以被誘騙誤導檢測，把合法的檔案判別為惡意檔案，然後將其刪除。

這種攻擊利用了微軟和卡巴斯基使用位元簽名 （byte signatures） 檔頭中獨特的位元組序列來檢測惡意軟體的特性。

研究人員在他們的黑帽示範文件中解釋說：「我們的目標是透過將惡意軟體簽名植入合法檔案中並讓 EDR 認為它是惡意的來讓其誤判。」

為了做到這一點，巴爾和科恩首先在 VirusTotal 平臺上找到與惡意軟體關聯的位元組簽名，然後將其插入資料庫——例如透過建立一個包含簽名的新使用者名稱。

然後，EDR 程式會將儲存簽名的資料庫視為被惡意軟體感染。

如果將 EDR 設定為刪除受感染檔案，它將執行刪除操作。研究人員辯稱，因此資料庫或虛擬機器可以被遠端刪除。

• 延伸閱讀：駭客可在2公尺外直接穿過網閘，攻擊沒連網的電腦！機密資訊一覽無遺
• 延伸閱讀：白帽駭客？黑帽駭客？都叫做駭客，到底他們有什麼不一樣？

在這一點上，有些讀者可能會認為這種技術在理論上很厲害，但需要存取檔案。

研究人員指出，這種存取很容易就可以做到：在網站上註冊為新使用者，並使用包含位元簽名的使用者名稱，EDR 就會將資料庫視為危險的。在影片評論中使用位元簽名也可以達到同樣的效果。

無論使用哪種技術將簽名放入檔案中，如果 EDR 將其刪除，那麼依賴其存在的應用程式將無法運行。

科恩解釋說：「你有一個試圖存取資料庫的服務。資料庫檔案丟失了，因為我們插入了惡意簽名。因此服務無法啟動。」

研究人員發現，根據他們的經驗，EDR 的文件刪除操作在安全工具內是不可逆的，這意味著你只能從備份的資料來還原。

這種情況的影響尚不可知，因為研究人員害怕測試漏洞可能帶來的一些潛在後果。

「我們想：『所有 Azure 雲端都運行著 Microsoft 產品，並且 Defender 存在於 Azure 中』，」科恩沉思道。「我們真的認為我們可以用這種攻擊攻擊 Azure 雲端，但我們真的很害怕嘗試，因為我們不知道後果。我們可能會在世界各地破壞生產資料庫，這可能是不可逆轉的。所以我們真的很害怕自己去嘗試。」

因此，SafeBreach在2023年1月向微軟報告了這些發現，4月份微軟公布了CVE-2023-24860修補程式。

當時，卡巴斯基並沒有發表修復程式。這家資安廠商聲稱這不是一個安全性漏洞，因為「產品的行為更多是由設計所驅動」。它確實承認正在「計畫一些改進措施來處理這個問題」。

科恩透露他稍後測試了卡巴斯基的產品，修補措施似乎奏效，但他不能保證這些修補程式不會被繞過。

「我們選擇關注 Defender 不是因為它是微軟，而是因為它比卡巴斯基更廣泛地被使用，」他說。

為了進一步測試微軟的修復程式，他們兩人去找了另一個位元簽名，並能夠繞過 Redmond 的修補程式。在 2023 年 8 月，SafeBreach 再次將他們的發現報告給 Microsoft，後者再次透過 12 月發表的 CVE-2023-3601 進行了修復。

到了那時，找到進一步的方法來繞過它變得更加困難。修補程式實施了白名單，但研究人員能夠透過 PowerShell 命令忽略例外來規避它。

• 延伸閱讀：微軟表示多國駭客正利用ChatGPT增進網路攻擊功力，解決之道是：用AI來對抗AI
• 延伸閱讀：中國駭客組織利用VMware關鍵漏洞進行長達兩年零日攻擊

巴爾在會議示範中解釋說：「如果掃描的檔案以 0xFD 開頭，並且檔案大小與 256 位元組對齊，如果這兩個條件都成立，即使形成了惡意簽名，也不會觸發檢測。因此，我們的目標是繞過白名單，以觸發另一個刪除基準。」

第三份報告是微軟引用了適用於 Windows 的《微軟安全服務標準》 （Microsoft Security Servicing Criteria for Windows），指出「繞過深度防禦安全功能本身並不會帶來直接風險，因為攻擊者必須先找到影響安全邊界的漏洞，或者他們必須依賴其他技術，如社交工程，才能實現設備被入侵的初始階段。」

至於前兩個報告 - 刪除繞過 - 微軟對 SafeBreach 的披露表示感謝： 

我們已經徹底調查了這些問題，並實施了一些改進措施，包括檢測和修復邏輯以及內建排除項，以減少誤報和資料丟失的風險。

我們還為客戶提供了一個選項，可以將 Defender 配置為不執行任何自動操作的模式，並且預設情況下所有修復操作都會被隔離。

我們相信我們目前的方法在降低風險和提供使用者期望的安全產品功能之間取得了良好的平衡。

科恩認為 Microsoft 很充份的理解了這個問題，並同意該公司表現得很友善和樂於合作。但他認為，這個漏洞根植於 Defender 內部，以至於完全消除它將需要重新設計該產品。

研究人員告訴媒體，「這是一個非常難解決的問題」。微軟的立場是，使用者可以透過將檔案放在 Defender 不會觸碰的受保護資料夾中、更改配置以及其他措施等方式來阻止攻擊途徑。

科恩和巴爾總結，當安全控制依賴於位元簽名檢測時，遠端刪除漏洞尤其難以修復。

這兩人建議，「修補程式不應該被視為靈丹妙藥，其他安全層應該防止單點故障。」 他們警告說，「修復安全控制漏洞的安全修補程式可能會引入繞過和意外行為。」

Defender 和卡巴斯基並不是唯一在進攻性工具方面使用 EDR 遇到困難的廠商。週五早些時候，非常忙碌的科恩做了另一個主題演講，重點關注 Palo Alto Networks Cortex XDR。他詳細介紹了他如何繞過該反惡意軟體產品的關鍵安全功能。

• 延伸閱讀：這款USB充電線不只能充電，還是內建Wi-Fi的駭客電腦
• 延伸閱讀：當心！駭客正濫用 Glitch 平台散佈釣魚郵件，試圖騙取 Microsoft 365 帳號

資料來源：

• Researchers claim Windows Defender can be fooled into deleting databases

加入T客邦Facebook粉絲團 固定链接 '研究人員聲稱 Windows Defender 可以被誘騙誤導刪除整個資料庫' 提交: April 23, 2024, 7:00pm CST