Os produtos de segurança da Microsoft e da Kaspersky podem ser induzidos a excluir arquivos legítimos, possivelmente bloqueando aplicativos inteiros, alertaram especialistas.
Pesquisadores de segurança cibernética da SafeBreach discutiram suas descobertas durante a conferência Black Hat Asia em Cingapura, relata o The Register .
No entanto, nem todos concordam com os investigadores e, embora a Microsoft tenha reconhecido até certo ponto as suas descobertas, acabou por decidir não prosseguir com as mesmas.
Para corrigir ou reconstruir
Os pesquisadores – Timer Bar e Shmuel Cohen – explicaram que o problema decorre do fato de que tanto a Microsoft quanto a Kaspersky usam assinaturas de bytes para detectar malware. Assinaturas de bytes, explica The Register , são sequências únicas de bytes em cabeçalhos de arquivos e, se um hacker as adicionar a um arquivo legítimo, as soluções de segurança as sinalizarão como maliciosas.
Em teoria, os hackers seriam capazes de excluir os arquivos das pessoas remotamente. Por exemplo, eles poderiam registrar-se como um novo usuário em um site e adicionar a assinatura de byte ao seu nome. A assinatura entraria no banco de dados, enganando o programa de segurança para excluir tudo. Em outro exemplo, um invasor poderia adicionar a assinatura a um comentário de um vídeo.
Tudo isto parece ser teórico, porque a consequência potencial é tão grande que os investigadores não tiveram coragem de experimentar:
“Pensamos: ‘Todas as nuvens Azure são executadas com produtos Microsoft e o Defender existe no Azure. Realmente pensamos que poderíamos atacar a nuvem Azure com este ataque, mas estávamos com muito medo de tentar porque não sabemos as implicações. Nós poderia realmente destruir um banco de dados de produção em todo o mundo, e isso poderia ser irreversível. Então, estávamos com muito medo de tentar fazer isso nós mesmos”, citou os pesquisadores do The Register.
Inicialmente, a Microsoft reconheceu as descobertas. A vulnerabilidade foi registrada sob CVE-2023-24860 e corrigida em abril de 2023. A Kaspersky, por outro lado, não lançou um patch porque “o comportamento do produto é mais orientado pelo design”. No entanto, estava “planejando algumas melhorias para mitigar esse problema”.
Os pesquisadores não pararam totalmente por aí. As soluções da Kaspersky e da Microsoft funcionaram de cara, mas eles queriam se aprofundar. Eles consideraram que o Kaspersky não era popular o suficiente para justificar uma investigação mais aprofundada, então se concentraram na Microsoft.
Eles conseguiram contornar o patch inicial, desencadeando a criação do CVE-2023-3601 em dezembro de 2023. Eles tentaram novamente, aparentemente conseguindo contornar a correção, mas desta vez – a Microsoft não foi faseada, alegando que o desvio só funciona em endpoints já comprometidos.
Um “contorno de um recurso de segurança de defesa profunda por si só não representa um risco direto, pois um invasor também deve ter encontrado uma vulnerabilidade que afeta um limite de segurança ou deve contar com técnicas adicionais, como engenharia social, para atingir o estágio inicial de um comprometimento do dispositivo.”
Os investigadores concluíram que, para resolver totalmente este problema, o Defender deveria ser redesenhado do zero.
