Kaspersky, Avast, Microsoft ответили на блок антивирусов через Safe Mode

Kaspersky, Avast, Microsoft ответили на блок антивирусов через Safe Mode

Обнаружен способ дистанционного отключения антивирусов на Windows с использованием режима безопасного запуска. Microsoft не считает находку Роберто Франческетти (Roberto Franceschetti) уязвимостью, так как проведение атаки требует наличия прав администратора.

Автор находки, напротив, уверен, что разработчики Windows допустили ошибку, поэтому он опубликовал результаты исследования и PoC-коды для деактивации Microsoft Defender, а также антивирусных продуктов Avast, Bitdefender, F-Secure и Kaspersky.

По словам Франческетти, написанные им bat-скрипты можно запустить как локально, так и удаленно. В обоих случаях они работают одинаково: инициируют перезагрузку Windows в безопасном режиме и переименовывают папку антивируса до запуска ассоциированной службы.

Для смены имени папок защитных решений в системе создается служба Windows NT, способная работать в безопасном режиме. Поскольку в этом случае ОС при старте блокирует большинство сторонних и не критичных для ее работы сервисов, исследователю пришлось обеспечить запуск своей службы добавлением записи в раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal.

Созданный Франческетти эксплойт с успехом отработал на Windows 10 и Windows Server 2016 с такой защитой, как Defender, Avast и F-Secure. Антивирусы Kaspersky и Bitdefender смогли воспрепятствовать завершению PoC-сценария, так как в них предусмотрена защита от несанкционированного вмешательства, и соответствующие скрипты пришлось немного изменить.

 

Провести такую атаку на Windows без повышенных привилегий невозможно, однако исследователь не преминул отметить, что на многих домашних ПК вход осуществляется из-под аккаунта администратора. В корпоративном окружении подобный эксплойт более опасен: если ряд служащих имеет админ-доступ ко всем рабочим станциям или серверу компании, достаточно убедить одного из них запустить вредоносный bat-файл, и весь парк останется без антивирусной защиты.

В Microsoft отказались признавать PoC-атаку Франческетти угрозой безопасности и не планируют что-либо исправлять. Производители антивирусов, по мнению исследователя, мало чем могут помочь: корень зла кроется в Windows, а не их решениях. Тем не менее, некоторые из названных ИБ-вендоров собираются принять меры для предотвращения атак по предложенному сценарию — в частности, о таком намерении заявили Avast и  «Лаборатория Касперского».

В F-Secure уповают на EDR-зашиту (Endpoint Detection and Response, система обнаружения целевых атак на конечных точках сети). Bitdefender, как и Microsoft, не считает нужным реагировать на находку, так как та «не является уязвимостью либо непредусмотренным поведением».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

28% сотрудников компаний сливают рабочие логины и пароли фишерам

Тренировочные фишинговые рассылки, проведенные МТС RED в рамках сервиса Security Awareness, показали, что около трети сотрудников компаний переходят по ссылкам в таких письмах, а 28% оставляют на фейковых сайтах ключи от рабочих аккаунтов.

Пробные сообщения были разосланы 1018 сотрудникам крупных компаний. Результаты показали, что 319 получателей не умеют распознавать письма фишеров, а 285 — поддельные страницы.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, — стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, — комментирует Илья Одинцов, руководитель направления Security Awareness. — Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже».

Примечательно, что после первого обучения с использованием результатов тренировки доля переходов сокращается два раза и более. Однако хорошие показатели держатся недолго и откатываются до прежнего уровня. Следовательно, такие тренинги эффективны, когда они проводятся регулярно.

Статистика получена путем анализа результатов тренировочных рассылок, проведенных в 2024 году с февраля по март. В качестве темы в письмах фигурировали внутренние новости компаний, а также подарки к 23 Февраля и 8 Марта.

Перед праздниками объемы фишинга обычно возрастают. По данным МТС RED SOC, в этом году всплеск такой активности наблюдался только накануне 8 Марта. Скачок был заметным: за несколько дней число посланий фишеров возросло на 27%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru