Zraniteľnosť Microsoft Defender

5. septembra 2023

Výskumníci poukázali na závažnú zraniteľnosť CVE-2023-24934, ktorá sa týka zneužitia aktualizačných procesov Windows Defender. Manipuláciou so súbormi v procese aktualizácie Defendera dokázali ovplyvniť jeho fungovanie a spôsobiť zastavenie procesu pri neoprávnených zmenách. Zraniteľnosť môže viesť k zneužitiu systému pomocou vykonávania škodlivého kódu.

Zraniteľné systémy:

Microsoft Defender

Microsoft System Center Endpoint Protection

Microsoft System Center 2012 R2 Endpoint Protection

Microsoft System Center 2012 Endpoint Protection

Microsoft Security Essentials

Opis činnosti:

CVE-2023-24934 (CVSS skóre: 5,5)

Microsoft opravil zraniteľnosť, CVE-2023-24934, na ktorú poukázali výskumníci z SafeBreach, Tomer Bar a Omer Attias na konferencii Black Hat USA. Výskumníkom sa podarilo vytvoriť automatizovaný nástroj „wd-pretender“, „Windows Defender Pretender“. Svoje zistenia predstavili na prednáške s názvom, „Keď sa aktualizácie Windows Defender stávajú bezpečnostným rizikom“. Ich cieľom bolo overiť, či môžu v systémoch skryť malvér a spôsobiť napríklad zmazanie dôležitých súborov. Pri skúmaní procesu aktualizácie Windows Defender zistili, že podpisové aktualizácie sa nachádzajú v súbore „Microsoft Protection Antimalware Front End“ (MPAM-FE[.]exe). MPAM obsahoval dva spustiteľné súbory a štyri súbory metadát virtuálneho zariadenia (VDM) so signatúrami malvéru. Tieto súbory VDM slúžia pri aktualizáciách signatúr pre Defender. Skúmali aj zasahovanie do procesu aktualizácie Defendera zmenou súborov v MPAM. Microsoft Defender zastavil proces aktualizácie, keď zistil, že zamenený súbor nebol podpísaný spoločnosťou Microsoft. Výskumníci ďalej testovali manipuláciu s podpísanými súbormi VDM spoločnosti Microsoft. Redefinovaním dvoch čísel uprostred overovacieho procesu dokázali zmeniť súbory tak, aby Defender nereagoval na hrozby ransomvéru Conti a nástroja Mimikatz.

Demonštrovali aj, že môžu manipulovať s aplikáciou Microsoft Defender, označujúc škodlivé súbory ako „FriendlyFiles“. To im umožnilo zaviesť do systému škodlivé súbory. Týmto spôsobom dokázali s obmedzenými právami používateľa ovplyvniť zraniteľné systémy. Publikované zistenie ukazuje nový spôsob, ako môžu byť aktualizačné procesy zneužité a vyžaduje ďalší výskum na zabezpečenie týchto procesov.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Kompromitácia systému
Odmietnutie služby (DoS)

Odporúčania:

Bezodkladná aktualizácie MS Defender. Spoločnosť Microsoft odporúča aby boli produkty konfigurované pre automatické aktualizovanie.

Odkazy:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24934

https://www.darkreading.com/attacks-breaches/-researchers-detail-vuln-that-allowed-for-windows-defender-update-process-hijack

https://nvd.nist.gov/vuln/detail/CVE-2023-24934