セキュリティ研究者らは、マルウェアがWindows Defenderを完全に回避できる脆弱性を発見したとみられる。マイクロソフトは、この報告は「実用性は限定的」(つまり、脅威リスクが低い)として却下した。
それでも、CyberArk Labs のチームは、このセキュリティ上の欠陥が Windows 10 および 8.1 で稼働している数千万台のデバイスに影響を及ぼす可能性があると主張しています。
「Windows Defender を悪用するには、攻撃者は SMB プロトコルを実装し、Windows Defender のリクエストを通常のリクエストと区別できる『疑似サーバー』を作成する必要がある」と研究者らは書いている。
同グループはさらに、この手法によってシステムを騙し、実際にマルウェアを運んでいるファイルとは別のファイルをスキャンさせる手段が生まれると説明しています。サイバーアーク・ラボによると、これは攻撃者がサーバーメッセージブロック(SMB)サーバーから送られてきた正規のファイルを装って既知のマルウェアを実行できることを意味します。このようにして送られてきた悪意のあるファイルをクリックすると、Windows Defenderは全く別の無害なファイルをスキャンし、悪意のあるファイルはスキャンされません。しかし、Windowsは実際の悪意のあるファイルを読み込みます。したがって、この手法はWindows Defenderを回避する手段となるとサイバーアークは述べています。
研究者らは、この脆弱性が標的型攻撃においてフィッシングと組み合わされる可能性があると警告している。サイバーアークは、自社で実際にテストを行っていないことを認めつつも、他のウイルス対策エンジンも脆弱である可能性があると示唆している。
Windows Defender を騙す (出典: CyberArk Labs)
サイバーアークは、同社が「イリュージョンギャップ」についてマイクロソフトに報告した際、同社から「報告によると、攻撃を成功させるには、アクセスパターンに応じて動作を変更できるカスタムサーバーに裏付けられた、信頼できないSMB共有のコンテンツをユーザーが実行/信頼する必要があります。これはセキュリティ上の問題ではなく、機能リクエストであると思われますので、エンジニアリンググループに転送しました」と回答したと記しています。
El Reg氏がMicrosoftにこの点について問い合わせたところ、Microsoftは次のように説明しました。「ここで説明されている手法は実用性に限界があります。攻撃者が成功するには、まずユーザーに、信頼できないリモートロケーションから未知のバイナリを実行するための手動の同意をさせる必要があります。また、ユーザーは攻撃者に管理者権限を与えるために、追加の警告をクリックする必要があります。攻撃者がユーザーに上記の手動の手順を実行させることに成功した場合、Windows Defenderウイルス対策とWindows Defender Advanced Threat Protectionは、攻撃者によるさらなる行動を検出します。」®
