Обнаружен новый прием, позволяющий злоумышленникам обмануть антивирус Защитника Windows и протащить на компьютер вредоносное программное обеспечение. Он связан с использованием SMB-серверов.
Новый эксплойт обнаружила компания CyberArk, занимающаяся исследованиями в области кибербезопасности, и присвоила ему название Illusion Gap («иллюзорный зазор»). Процесс атаки таков: пользователя убеждают запустить файл на вредоносном SMB-сервере, подконтрольном злоумышленникам. Windows при этом запрашивает две копии файла: одну для запуска, другую для анализа Защитником Windows. Поскольку SMB-серверы умеют различать эти запросы, Защитнику Windows высылается безопасный файл, а для запускается зараженный.
В Microsoft обнаруженный эксплойт не посчитали недостатком Защитника Windows, поскольку для успешной атаки пользователь должен запустить файл из недоверенного SMB-ресурса, который обслуживается особым образом настроенным сервером, изменяющим свое поведение в зависимости от способа доступа.
Специалисты CyberArk, в свою очередь, уверены, что речь идет об уязвимости, и единственный способ предотвратить ее на данный момент — установить дополнительный антивирус, который будет выполнять сканирование файлов наряду с Защитником Windows. Правда, не подвержены ли другие антивирусы той же проблеме, специалисты пока не выясняли.
