Ошибка Windows 10 позволяет вредоносной программе обходить проверки безопасности

Ошибка в Anti-Malware Scan Interface может привести к тому, что вредоносное ПО останется необнаруженным при проверке, если код содержит нулевой символ.

Введенный в Windows 10, Anti-Malware Scan Interface (AMSI) - это аппарат безопасности, который выступает в качестве посредника между приложениями и вашим антивирусом. Это позволяет приложениям проверять, являются ли файлы, которые они используют, безопасными, отправляя их на проверку антивирусом.

Одной из наиболее важных функций AMSI является проверка исполняемых файлов при запуске и сканировании дополнительных ресурсов, которые могут быть открыты приложением после запуска. Это очень полезно, учитывая растущую тенденцию обхода традиционных антивирусных ядер подписи, маскируя их атаки с помощью сценариев PowerShell, работающих в других легитимных приложениях.

Ошибка, обнаруженная исследователем Сатоши Тандой, приводит к тому, что файлы, отправленные для сканирования AMSI, усекаются нулевым символом. Это означает, что злоумышленник может легко скрыть вредоносный код в скрипте, разместив его после нулевого символа. Поскольку AMSI никогда не прочитает этот код, вредоносное ПО будет проходить без каких-либо предупреждающих сигналов.

К счастью, ошибка была исправлена последним релизом Patch Tuesday от Microsoft. «Теоретически, никаких действий, кроме применения патча, не требуется. Однако поставщики программного обеспечения, использующие AMSI для сканирования содержимого PowerShell, должны проверить, может ли он корректно обрабатывать нулевые символы, если они появятся», - говорит Танда.

Узнать другие подробности можно здесь.