美国 – 以色列网络安全公司SafeBreach的研究人员揭示了Microsoft Defender和卡巴斯基的端点检测和响应(EDR)系统中的漏洞,这些漏洞可能允许攻击者远程删除受害者计算机上的文件。这些漏洞利用安全产品对字节签名的依赖来识别恶意软件,从而导致误报,从而导致删除合法文件。SafeBreach 的安全研究副总裁 Tomer Bar 和安全研究员 Shmuel Cohen 在新加坡举行的 Black Hat Asia 会议上介绍了他们的发现,详细介绍了他们如何能够操纵这些安全工具将非恶意文件错误地识别为威胁。
开发方法
研究人员通过将恶意软件签名插入合法文件(例如数据库或虚拟机)来实现这一点,从而使EDR系统标记并随后删除这些文件。这种攻击方法可以通过相对简单的方式发起,例如在网站上注册新用户,其名称包含恶意软件签名,或在视频评论中插入签名。删除这些文件可能会中断依赖它们的服务,从而对受影响的系统构成重大风险。尽管向各自的公司报告了这些发现,但研究人员指出,由于安全产品的固有设计,这些漏洞仍然可以被利用。
响应和缓解
Microsoft 通过发布旨在缓解漏洞的补丁(CVE-2023-24860 和后来的 CVE-2023-3601)来回应 SafeBreach 的调查结果。但是,SafeBreach能够绕过初始补丁,促使Microsoft采取进一步行动。此后,该公司实施了其他措施,包括白名单和用户将Defender配置为隔离而不是删除标记文件的选项。另一方面,卡巴斯基最初没有发布修复程序,称该问题是产品设计的结果。他们后来指出了解决该问题的改进计划。尽管做出了这些努力,但研究人员认为,要完全解决该漏洞,需要对所涉及的产品进行重大的重新设计。
SafeBreach的调查结果凸显了保护现代计算机系统免受创新攻击媒介的复杂性。研究人员强调了不要仅仅依赖补丁作为防御机制的重要性,并倡导采用多层次的安全方法,承认安全控制中的漏洞可能导致意外和潜在的可绕过行为。网络安全研究人员和软件供应商之间正在进行的对话在识别和缓解此类漏洞方面发挥着至关重要的作用,强调了
