Ataque do Windows Defender-Pretender desmonta carro-chefe da Microsoft EDR

Views: 159
0 0
Read Time:5 Minute, 16 Second

BLACK HAT USA – Las Vegas – quarta-feira, 9 de agosto : Entre os 97 CVEs que a Microsoft corrigiu em abril de 2023, havia uma vulnerabilidade de desvio de recurso de segurança que permite que um usuário sem privilégios sequestre o Windows Defender e o use para causar estragos nos sistemas de destino.

Pesquisadores da SafeBreach – que descobriram vulnerabilidades semelhantes em produtos de segurança anteriormente – descobriram o problema com o Windows Defender durante uma tentativa de assumir o processo de atualização da ferramenta antivírus.

Sequestrando o processo de atualização

O objetivo da pesquisa era verificar se o processo de atualização poderia ser usado para infiltrar malware conhecido nos sistemas que o software foi projetado para proteger. Os pesquisadores também queriam verificar se podiam fazer com que o Windows Defender excluísse assinaturas de ameaças conhecidas e, pior ainda, excluísse arquivos benignos e acionasse uma condição de negação de serviço em um sistema comprometido.

Os pesquisadores conseguiram atingir todos os três objetivos e até desenvolver uma ferramenta automatizada chamada wd-pretender – para o Windows Defender Pretender – que implementava cada um dos vetores de ataque. A Microsoft atribuiu um CVE para o problema que descobriu – CVE-2023-24934 – e emitiu uma correção para ele em abril.

Os pesquisadores do SafeBreach, Tomer Bar e Omer Attias, apresentaram um resumo de suas descobertas em uma sessão da Black Hat USA na quarta-feira, intitulada ” Defensor Pretender: Quando as atualizações do Windows Defender se tornam um risco de segurança “.

Em uma conversa com Dark Reading antes de sua apresentação, Bar e Attias dizem que sua pesquisa foi inspirada pela sofisticada campanha de ciberespionagem Flame que teve como alvo organizações no Irã e outros países do Oriente Médio em 2012. O ator do estado-nação por trás da campanha inseriu-se no meio do processo de atualização do Windows e o usou para fornecer a ferramenta de malware Flame em computadores infectados anteriormente.

Bar diz que o objetivo da pesquisa mais recente do SafeBreach era ver se eles poderiam replicar algo semelhante sem um complexo ataque man-in-the-middle e sem um certificado forjado – como no caso da campanha Flame. Significativamente, os pesquisadores queriam ver se assumiriam o processo de atualização do Windows Defender como um usuário sem privilégios.

O processo de atualização do Defender

Ao estudar o processo de atualização do Windows Defender, Bar e Attias descobriram que as atualizações de assinatura geralmente estão contidas em um único arquivo executável chamado Microsoft Protection Antimalware Front End (MPAM-FE[.]exe). O arquivo MPAM, por sua vez, continha dois executáveis ​​e quatro arquivos adicionais de metadados de dispositivo virtual (VDM) com assinaturas de malware em formato compactado, mas não criptografado. Os arquivos VDM trabalharam em conjunto para enviar atualizações de assinatura para o Defender.

Os pesquisadores descobriram que dois dos arquivos VDM eram arquivos “Base” de tamanho grande que continham cerca de 2,5 milhões de assinaturas de malware, enquanto os outros dois eram arquivos “Delta” de tamanho menor, mas mais complexos. Eles determinaram que o arquivo Base era o arquivo principal que o Defender verificava em busca de assinaturas de malware durante o processo de atualização, enquanto o arquivo Delta menor definia as alterações que precisavam ser feitas no arquivo Base.

Inicialmente, Bar e Attias tentaram seqüestrar o processo de atualização do Defender substituindo um dos executáveis ​​no arquivo MPAM por um arquivo próprio. O Defender percebeu imediatamente que o arquivo não era assinado pela Microsoft e interrompeu o processo de atualização, diz Bar.

Adulteração de arquivos assinados

Os pesquisadores então decidiram ver se poderiam assumir o processo de atualização do Defender adulterando os arquivos VDM assinados pela Microsoft.

Ao analisar os arquivos, eles conseguiram identificar facilmente nomes de malware e suas assinaturas associadas e onde as strings começavam e terminavam. Os dois pesquisadores descobriram que as assinaturas do Windows Defender são o resultado da fusão de dados dos arquivos Base e Delta. Eles descobriram que o Defender usou um processo de validação para garantir que os dados nos arquivos não fossem alterados durante ou antes do processo de mesclagem e identificaram dois números específicos que o Defender usou para fins de validação. Bar diz que conseguiu usar essas informações para sequestrar o processo de atualização usando uma versão modificada do arquivo VDM.

Bar diz que, como prova de conceito, ele conseguiu fazer alterações nos arquivos VDM para que o Defender não detectasse ameaças como Conti ransomware e Mimikatz, embora tivesse assinaturas para detectar ambas as ameaças. Simplesmente excluindo o nome de uma ameaça de malware específica do banco de dados de assinaturas do Defender, eles conseguiram garantir que o Defender não detectasse a ameaça.

Da mesma forma, os pesquisadores descobriram que poderiam facilmente inserir arquivos maliciosos em um sistema, rotulando-os como “FriendlyFiles”, que é basicamente uma lista de permissões que os usuários do Defender identificam arquivos benignos. Como prova, eles demonstraram como poderiam se infiltrar no Mimikatz em um sistema substituindo um hash na lista FriendlyFiles pelo hash para Mimikatz. Bar diz que também foi capaz de desencadear uma condição de negação de serviço em uma máquina de teste, enganando o Windows Defender fazendo-o pensar que todos os arquivos executáveis ​​portáteis no sistema eram malware Emotet. Os pesquisadores planejaram o ataque de tal forma que sempre que o Defender encontrasse a string “Este programa não pode ser executado no modo dos” – algo que é verdade para quase todos os aplicativos modernos – o Defender os excluiria automaticamente.

Anteriormente, outro pesquisador da SafeBreach havia mostrado como um invasor, com apenas as permissões de um usuário sem privilégios, poderia manipular vários sistemas comuns de detecção e resposta de endpoint para limpar qualquer arquivo em um sistema. A principal conclusão para as organizações é que invasores motivados sempre podem encontrar maneiras de contornar até mesmo as tecnologias de segurança normalmente confiáveis, diz Bar.

Embora a Microsoft tenha usado arquivos assinados digitalmente durante o processo de atualização, a vulnerabilidade do Windows Defender significava que as verificações de validação falhavam em detectar alterações subsequentes nesses arquivos assinados, diz ele. Com base no potencial dos processos de atualização de assinatura serem explorados como um novo vetor de ataque, mais pesquisas são necessárias para garantir a segurança desse processo.

FONTE: DARKREADING

POSTS RELACIONADOS