По данным исследователей из CyberArk, стандартная антивирусная система ОС Windows – Windows Defender не гарантирует стопроцентной защиты. Обход системы стал возможным с применением способа «иллюзорного промежутка».
В опыте исследователями были использованы SMB-сервера и социальная инженерия, в результате синтеза которых я стало возможным обойти антивирусную программу. За основу был принят алгоритм защитника Windows, согласно которому он всегда проверяет посторонние файлы, которые хранятся на ресурсе сервера SMB. По сценарию, успешное «заражение» компьютера успешно лишь в случае запуска пользователем «грязного» файла на сервере, вне ПК, чтобы осуществить загрузку в ОС жертвы. В процессе опознавания файла компьютером сервер может отдать под анализ один файл, а под загрузку – совершенно иной, что и является целью злоумышленников.
Специалисты CyberArc уже доложили о важной находке в компанию Miscrosoft, однако в ответ они получили комментарии о том, что не считают данную брешь предлогом для больших опасений. По мнению исследователей, обезопасить владельцев данной ОС может лишь установка дополнительных оборонительных программ, иначе они рискуют заражением своего персонального компьютера.