Egy biztonsági cég a napokban egy olyan új támadási módszer észleléséről számolt be, ami mondhatni a feje tetejére állítja a dolgokat a biztonság terén. A LockBit nevű zsarolóvírus új verziója ugyanis a Microsoft az elvileg a gépet pont a hozzá hasonló kártevőktől megvédeni hivatott vírusirtóját, a Defender-t használja fel a terjedésre.

Egészen pontosan a Defender "MpCmdRun.exe" nevű parancssori eszközét, és annak egy biztonsági gyengeségét. A szóban forgó program ugyanis futtatása során több külső könyvtárat (DLL) is betölt, de a jelek szerint nem ellenőrzi ezek mindegyikének aláírását, ami lehetőséget ad a kártevő számára, hogy azok egyikét (az mpclient.dll-t) - a "sideloading"-nak nevezett technika felhasználásával - egy saját, manipulált változattal helyettesítse.

A kivételezett Defender

Ez önmagában még mindig csak korlátozottan lenne probléma - az igazi baj azonban az, hogy a szóban forgó eszközt és tevékenységét , mint a Defender jól ismert részét, a gépre telepített más biztonsági szoftverek sem vizsgálják. Ennek oka valószínűleg az, hogy a szóban forgó program legitim működése részeként is tartalmazhatja átmenetileg vírusok kódjait (pl. azok keresése során), illetve végez amúgy kértevőkre emlékeztető tevékenységet (mint pl. az összes állományon történő átfutás), ami azonban így normál működése részeként is sorozatos hamis riasztásokhoz vezetne, ha más víruskeresők nem kezelnék kivételként őt.

Így viszont (ti. hogy nem vizsgálják tevékenységét, illetve többet megengednek neki, mint más programoknak) a manipulált könyvtárfájlok révén a Defenderbe betöltődő LockBit zsarolóvírust sem veszik észre, ami ennek köszönhetően zavartalanul telepítheti káros töltetét a gépre. Utóbbi ezt kihasználva aztán a Cobalt Strike nevű infrastruktúrát csempészi a gépre, és ennek segítségével vonja azt a támadók ellenőrzése alá, illetve ejti túszul az azon található adatokat és állományokat.

Volt már példa hasonlóra

Korábban egyébként rendkívül hasonló módszert már figyeltek meg ennél a kártevőnél, ami akkor a VMware egy parancssori eszközét a "VMwareXferlogs.exe"-t használta fel a rendszerben "fű alatt" történő belopakodásra. Ugyanakkor a mostani eset abból a szempontból aggályosabb, hogy a Defender sokkal több gépen található meg, mint a VMware, így a fenyegetés is szélesebb körűnek tekinthető.

Ennek ellenére az otthoni felhasználóknak nem kell pánikolniuk, mert a kártevőnek először más módon, egy távoli biztonsági résen át be kell jutnia ahhoz a gépre, hogy a Defendert fel tudja használni a támadásra - és ha ezen a ponton elakad, nem tudja a vélhetően hamarosan orvoslásra kerülő gyengeséget sem kihasználni abban.