Pesquisadores de segurança da CyberArk descobriram uma falha de segurança que permite burlar completamente o Windows Defender e executar arquivos maliciosos em sistemas que deveriam estar protegidos.
A técnica foi batizada de Illusion Gap e necessita de um Server Message Block (SMB) comprometido para entregar um arquivo para ser analisado enquanto distribui outro completamente diferente para ser executado.
O Windows Defender solicita ao servidor uma cópia do arquivo hospedado antes de liberar a execução, mas o servidor SMB em controle dos hackers poderia enganar o antivírus com um arquivo N inofensivo, fazendo com que o Windows Defender autorize a execução real de um arquivo Z infectado com malware, com todas as permissões necessárias. Segundo os pesquisadores de segurança, o usuário poderia ser facilmente induzido a clicar no link através de engenharia social.
“É trabalho do Windows Defender escanear e encontrar arquivos maliciosos – essa vulnerabilidade permite que arquivos maliciosos o burlem, então ele não está fazendo seu trabalho”, declarou Kobi Ben Naim, Diretor Senior de Cyber Research na CyberArk. E completa: “embora a Microsoft seja uma grande fornecedora de software, as pessoas precisam entender que enquanto os produtos gratuitos da Microsoft tenham seu valor, não são um substituto para segurança. A Microsoft produz grandes produtos, mas não é uma fornecedora de segurança”.
A CyberArk enviou sua descoberta para a Microsoft antes de torná-la pública, mas alega que a empresa ignorou os riscos envolvidos e não considerou a falha um problema de segurança mas uma questão de “funcionalidade”.
