Когато си мислите, че нещата не могат да станат много по-страшни за потребителите на Windows, елитните хакери са готови да ви докажат, че грешите. Най-напред имахме уязвимост от типа "нулев ден", която направи паролите за Windows достъпни за прихващане, а след това хакери дадоха възможност за наемането на рансъмуер за Windows срещу 500 000 долара. За капак станахме свидетели и дори на откриването на руткит за Windows - софтуер, който променя стандартните функции и процеси на операционната система.

Сега пък беше потвърдено, че има начин да се заобиколи контролът на приложенията на Windows Defender - защитната програма, която има за цел да ограничи изпълнението на приложения до надежден софтуер, с всички последици, които носи на страната по сигурността. Ето какво трябва да знаете.

Може да не сте чували за Windows Defender Application Control, така че нека накратко обясним какво прави. Всъщност, нека Microsoft обясни: по описанието на компанията, той е предназначен да защитава устройствата срещу злонамерен софтуер и друг ненадежден софтуер.

„Това предотвратява стартирането на злонамерен код, като гарантира, че може да се изпълнява само одобрен код, който знаете,“ пише на сайта на Microsoft. С други думи, това е софтуерно-базиран защитен слой, който налага списък от специфичен софтуер, който е достатъчно надежден, за да може да работи на вашия компютър. Това е и нещо, което е известно като граница на сигурността и Microsoft е готова да плати доста за откриването на уязвимости, които помагат тя да бъде заобиколена. Това означава, че много хакери са съсредоточили усилията си в това нещо и един от тях току-що намери начин да направи точно това: да заобиколи Windows Defender Application Control.

Хакерът Боби Кук, работещ в IBM X-Force Red, потвърди, че приложението Microsoft Teams е "жизнеспособна цел за байпас на WDAC" и "когато се сблъскахме с WDAC успешно го заобиколихме и активирахме нашия полезен товар."

Хакерите са изобретателни, когато става въпрос за намиране на нови методи за атака и входни точки, така че не би трябвало да е изненадващо да научим, че когато търси уязвимост като подготовка за предстояща операция, Кук се насочва към Windows Defender Application Control и по-специално към приложенията Electron.

„Приложенията Electron функционират като уеб браузъри, които изобразяват настолни приложения, използвайки стандартни уеб технологии като HTML, JavaScript и CSS“, обяснява Кук. Нещо повече, използваният двигател на JavaScript е нещо, наречено Node.js, което осигурява използването на мощен интерфейс за програмиране на приложения. Те са мощни, защото могат да взаимодействат с операционната система на хоста.

„Тези API позволяват действия като четене и писане на файлове, изпълнение на програми и други операции, типични за собствените приложения на операционната система“, продължава той.

Така Кук се насочва към приложението Microsoft Teams, първоначално създадено на Electron и подписано от Microsoft, което можеше да заобиколи дори най-строгите правила на WDAC. „Въпреки че Node.js може да взаимодейства с операционната система чрез своите API“, разказва Кук, „липсва му пълната функционалност на C, където разработчиците могат директно да извикват WINAPI и NTAPI.“ Тази празнина се преодолява от модули Node, които могат да разширят възможностите на рамката Node.js и да изпълняват JavaScript в приложенията на Electron.

Всичко това показва, че универсално използваната Windows Defender, която милиони приемат като антивирусна защита по подразбиране на своите компютри, не е толкова сигурна и Microsoft ще трябва да вземе нови мерки, за да затвори уязвимостите, посочени от експерти като Кук.

Снимка: Unsplash

Виж още: Китай вече може да обърка глобалните комуникации с мощно устройство за рязане на подводни кабели