Эксперт по информационной безопасности смог провести успешные атаки, отключив антивирусы Microsoft, Avast, Bitdefender, F-Secure и "Лаборатории Касперского». Специалист обнаружил, что отключить антивирусную защиту можно удалённо с помощью безопасного режима Windows.
Эксперт рассказал о методе в видео и опубликовал PoC-код для эксплуатации уязвимости.
Работает всё просто: злоумышленник может запустить скрипт, который удалённо (но можно и локально) отключит антивирусные программы. Скрипт просто перезагрузит устройство в безопасном режиме и переименует каталог приложений перед запуском связанной с ним службы.
"Если бы в крупной компании было, например, 100 пользователей, которые были бы локальными администраторами на всех рабочих станциях компании или администраторами серверов, достаточно было бы обманом заставить одного из них запустить . bat-файл, чтобы отключить антивирусную защиту на всех конечных точках в компании», — рассказал специалист.
Он уже передал информацию Microsoft, но компания не признала уязвимость проблемой. Дело в том, что для атаки всё же требуются права администратора. А если такие есть, то можно сделать много чего похуже.
Читать первоисточник. . . . photorealm.ru2020-12-17 19:14
