Durante il Black Hat Asia, i ricercatori di SafeBreach hanno descritto una vulnerabilità presente in alcune soluzioni di sicurezza che può essere sfruttata per cancellare interi database e quindi rendere inutilizzabili i servizi associati. Microsoft ha rilasciato due patch per Windows Defender, ma il problema non è stato completamente risolto.
Firme dei malware nei database
Windows Defender, come altre soluzioni di sicurezza, offre diversi livelli di protezione. Quella considerata più affidabile (con meno falsi positivi) prevede l’uso delle firme dei malware (byte signature) o definizioni. I ricercatori di SafeBreach hanno trovato un modo per impiantare le firme in file legittimi, ingannando Defender.
Dopo averla trovata su VirusTotal hanno inserito la firma associata ad un malware in un database. Ciò può essere fatto in vari modi, ad esempio creando un nuovo utente con il nome che include la firma. Windows Defender rileva la presenza del malware e cancella il database. Il servizio o l’applicazione corrispondente non funziona più.
Il bug CVE-2023-24860 è stato corretto da Microsoft con la patch dell’11 aprile 2023. I ricercatori hanno tuttavia scoperto che la patch poteva essere aggirata. Microsoft ha quindi rilasciato una seconda patch per il bug CVE-2023-36010 il 12 dicembre 2023.
Purtroppo anche questa patch è parziale. Stavolta Microsoft ha solo ringraziato i ricercatori, senza rilasciare la soluzione definitiva, probabilmente perché richiederebbe una completa riprogettazione del software. La vulnerabilità potrebbe essere sfruttata per cancellare i database da remoto.
Defender viene usato anche su Microsoft Azure. I ricercatori non hanno però effettuato nessun test, in quanto non possono prevedere le conseguenze. C’è il rischio di distruggere un database in modo irreversibile. Può essere ripristinato solo tramite backup, ma non sarà la versione più recente.