05/10/2017 19:43 GMT+7

Mã độc có thể 'đánh lừa' Windows Defender để tấn công máy tính

MINH THÁI

TTO - Các nhà nghiên cứu đã tìm ra phương pháp “đánh lừa” Windows Defender để cho phép bất kỳ phần mềm độc hại nào xâm nhập vào máy tính. Trước nghiên cứu đó, Microsoft tuyên bố họ không có nghĩa vụ giải quyết vấn đề chống phần mềm độc hại cho người

Ảnh: Threatpost.

Microsoft cho biết: "Kỹ thuật được các nhà nghiên cứu mô tả có tính ứng dụng hạn chế. Để thành công, hacker trước tiên cần thuyết phục người dùng đồng ý thực hiện lệnh mở một tập tin không rõ nguồn gốc và không đáng tin cậy. Nếu hacker có lừa được người dùng thực hiện các bước được đề cập trên đi chăng nữa thì Windows Defender Antivirus và Windows Defender Advanced Threat Protection cũng sẽ phát hiện hành động tiếp theo của hacker."

Nhóm nghiên cứu CyberArk - Doron Naim và Kobi Ben Naim, thì lại cho rằng thủ thuật tấn công mà họ nghiên cứu (họ gọi là Illusion Gap) hoàn toàn có thể ảnh hưởng đến các sản phẩm chống virus khác. Họ cho biết, hacker còn có thể khai thác giao thức SMB, lừa Windows Defender quét tệp tin và thực hiện chương trình độc hại thay vì chuyển tới hệ điều hành.

Theo đó, hacker trước tiên sẽ lừa người dùng thực hiện một khai thác được lưu trữ trên SMB, chuyển tệp tin độc hại đến Windows PE Loader và Windows Defender. Một khi PE Loader khởi chạy các tập tin thì phần mềm độc hại từ SMB sẽ được đưa vào thiết bị.

Kể cả khi Windows Defender có quét các tập tin đi chăng nữa thì nó cũng chỉ quét được các tệp tin lành tính. Trong khi đó, PE Loader vẫn sẽ thực hiện lệnh đối với các tệp tin độc hại.

Ben Naim nói: "Một cuộc tấn công như thế sẽ chỉ là bước đầu tiên của hacker mà thôi. Khi xâm nhập được vào thiết bị, bọn tội phạm mạng chắc chắn sẽ khai thác những lỗ hổng khác với nhiều hình thức tinh vi hơn."

Ảnh: Threatpost.

Naim nói thêm: "Đây không chỉ là một "kịch bản" mà thật sự là cơ chế mà hacker áp dụng để xâm nhập thiết bị thông qua Windows Defender."

Đứng trước nghiên cứu của CyberArk, Microsoft cho rằng kể từ khi đưa ra nhận định "hacker yêu cầu người dùng tin tưởng và chạy mã độc hại từ giao thức SMB" thì mọi thứ đã không thuộc về vấn đề bảo mật rồi. Vấn đề nằm ở người dùng bị đánh lừa, chứ không phải Windows Defender bị đánh lừa.

"Phản ứng đó thật sự lố bịch. Nếu bạn phát triển một sản phẩm bảo mật, thì bạn phải làm sao để sản phảm nâng cao tính an ninh, chứ không phải đổ lỗi cho người dùng." - Ben Naim nói. "Nếu bạn cho rằng phải quét virus có thể bảo đảm bất cứ điều gì, thì chắc các nhà cung cấp bảo mật đều cần phải xem xét lại."

Naim nhấn mạnh thậm chí nếu Windows Defender có quét hay không quét tệp tin đi chăng nữa, nó vẫn sẽ cho phép quá trình tấn công thực hiện.

"Nếu người dùng có thể xác định được yêu cầu nào đến từ các chương trình chống virus, yêu cầu nào đến từ Windows hay các thủ thuật của hacker, thì có lẽ họ đã trở thành chuyên gia bảo mật trước phần mềm độc hại."

MINH THÁI