Ошибка нулевого символа позволяет обойти AMSI в Windows 10

Ошибка нулевого символа позволяет обойти AMSI в Windows 10

Появившийся в Windows 10 инструмент Anti-Malware Scan Interface (AMSI), выступающий в качестве слоя защиты, связывающего приложения и антивирусы, затрагивает недостаток безопасности, связанный с тем, как обрабатываются данные после нулевого символа.

AMSI представляет собой механизм, обеспечивающий защиту от вредоносных программ, которые не могут детектировать стандартные антивирусные решения. К таким угрозам относятся, например, скрипты PowerShell, выполняемые через обычные программы.

Как пишет обнаруживший баг эксперт Сатоши Танда, ошибка позволяет обойти сканирование файла AMSI, так как оно прерывается, наткнувшись на нулевой символ. Вся информация, расположенная после нулевого символа, просто не обрабатывается Anti-Malware Scan Interface.

Следовательно, все, что потребуется от злоумышленника — добавить перед вредоносным кодом нулевой символ, который поможет обойти защитный механизм AMSI.

Эксперт опубликовал различные примеры реализации такого обхода AMSI, среди них запуск вредоносного PowerShell.

На прошлой неделе Microsoft выпустила патч, устраняющий эту проблему безопасности, Танда рекомендует всем установить его как можно скорее.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Хакеры, из-за которых TalkTalk потеряла £77 млн, отправились в тюрьму

Двое киберпреступников, атаковавших сайт TalkTalk, отправились в тюрьму. По словам представителей TalkTalk, из-за этой утечки компания лишилась £77 миллионов. Теперь 23-летний Мэтью Хэнли и его друг 21-летний Коннор Эллсопп, оба из Тамуорта, графство Стаффордшир, будут отбывать срок за решеткой.

Злоумышленники признались, что участвовали в масштабной утечке данных в 2015 году, которая затронула 1,6 миллионов аккаунтов. Хэнли, которого описывают как «преданного хакера», поделился информацией о более чем 8 000 клиентах с Эллсоппом.

Суд приговорил Хэнли к 12 месяцам тюрьмы, а Эллсопп получил восемь. Суд отметил неординарный талант подельников, однако направлен он был, судя по всему, не на благие дела.

«Я уверена в том, что ваши действия стали причиной дискомфорта и стресса для тысяч пользователей TalkTalk», — заявила судья.

Суд признал, что конкретно Хэнли и Эллсопп не использовали для проникновения уязвимость в системах TalkTalk. Они просто подключились к злонамеренной кибероперации на определенном ее этапе.

По версии следствия, как передает BBC, в атаке принимали участие до 10 киберпреступников.

Хэнли также удалось получить имена и пароли от сервера, принадлежащего Nasa.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru