Falha permite usar o Microsoft Defender para remover ficheiros do sistema
Um grupo de investigadores da empresa de segurança SafeBreach revelou que os programas de segurança do Windows e da Kaspersky podem conter falhas que permitem a execução de conteúdo malicioso nos sistemas.
De acordo com os investigadores, as falhas podem permitir que conteúdos sejam remotamente eliminados do sistema, o que pode levar a que os próprios programas de segurança removam conteúdos potencialmente importantes dos sistemas onde se encontram. Além disso, os investigadores afirmam ainda que as falhas podem permanecer nos sistemas até mesmo depois das entidades corrigirem o problema de base.
Durante o evento Black Hat Asia, que se realizou em Singapura, os investigadores revelaram as falhas no Microsoft Defender e Endpoint Detection and Response (EDR) da Kaspersky. Ambos os programas podem ser enganados para considerar um determinado ficheiro como malicioso, dentro do sistema, removendo o mesmo.
Em parte, a falha encontra-se derivado da forma como estes programas usam as suas bases de dados, para identificar malware ativo e conhecido. Os programas usam um sistema de análise da sequência de bytes de um programa, que pode ser explorado para o ataque.
Usando este sistema, os atacantes podem confundir os programas de segurança, e levar os mesmos a considerar um determinado ficheiro dentro do sistema como potencialmente malicioso, removendo o mesmo.
Os investigadores apontam que esta técnica pode ser usada para remover conteúdos importantes de ambientes em produção, como é o caso de bases de dados. Embora seja difícil de adivinhar quais os ficheiros exatos a remover, os investigadores apontam que o software pode ser enganado de várias formas, e a falha pode ser explorada para ativamente remover conteúdos importantes dos sistemas onde as suítes de proteção se encontrem.
É ainda referido que, tendo em conta que a falha afeta a forma como estes programas de segurança usam as suas bases de dados, mesmo que uma correção seja teoricamente lançada pelas empresas, a falha ainda poderia ser explorada. Os programas foram criados para usar este sistema de análise e identificação de conteúdos maliciosos, e não será possível corrigir inteiramente o problema sem afetar a forma como as bases de dados funcionam nos mesmos.
A Microsoft foi uma das primeiras empresas a responder a esta falha, que embora tenha considerado a mesma como legítima, indica que a forma como a exploração é realizada encontra-se longe de poder ser usada para ataques práticos. Os administradores de sistemas com o Microsoft Defender podem configurar os mesmos para não realizar ações automaticamente, e invés disso, optar pela quarentena primeiro antes da remoção.
A Microsoft indica ainda que existe um reduzido número de utilizadores que optam por configurar os mecanismos de segurança para automaticamente remover conteúdos potencialmente maliciosos, e que a quarentena dos mesmos é um dos métodos recomendados para a proteção.