Hackeři našli způsob, jak obejít vestavěnou ochranu Windows

Všechny počítače s Windows jsou vybaveny integrovanou bezpečnostní funkcí zvanou Windows Defender Application Control (WDAC), která pomáhá bránit spuštění nepovoleného softwaru tím, že umožňuje pouze důvěryhodné aplikace.

Nicméně, navzdory svému účelu, hackeři objevili několik způsobů, jak WDAC obejít, čímž vystavují systémy malwaru, ransomwaru a dalším kybernetickým hrozbám.

Výsledkem je, že to, co bylo dříve považováno za silnou vrstvu obrany, může nyní sloužit jako potenciální zranitelnost, pokud není správně spravováno.

Windows Defender Application Control (WDAC) je bezpečnostní funkce ve Windows, která vynucuje přísná pravidla o tom, které aplikace se mohou spouštět. Pomáhá blokovat nepovolený software, ale výzkumníci našli způsoby, jak tyto ochrany obejít.

Bobby Cooke, operátor červeného týmu v IBM X-Force Red, potvrdil, že Microsoft Teams by mohl být použit jako způsob obejití WDAC. Vysvětlil, že během operací červeného týmu se jim podařilo obejít WDAC a spustit jejich užitečné zatížení ve fázi 2 příkazu a řízení.

Aby se našly a opravovaly tyto bezpečnostní mezery, Microsoft provozuje program odměn za chyby, který odměňuje výzkumníky za nahlášení zranitelností v WDAC a dalších bezpečnostních komponentech. Některé techniky obejití však zůstávají neopravené po dlouhou dobu.

Jeden z klíčových způsobů, jak útočníci obejdou WDAC, je použití binárních souborů Living-off-the-Land (LOLBins). Jedná se o legitimní systémové nástroje, které jsou předinstalovány s Windows, ale hackeři je mohou zneužít k provedení nepovoleného kódu a vyhnout se detekci zabezpečení. Protože tyto nástroje jsou systémem považovány za důvěryhodné, poskytují snadný způsob, jak obejít obranu.

Některé techniky obejití zahrnují DLL sideloading, kde útočníci oklamou legitimní aplikace, aby načetly škodlivé DLL místo zamýšlených. Navíc, pokud nejsou zásady WDAC správně vynucovány, útočníci mohou upravit pravidla pro provádění, aby umožnili spuštění nepovoleného softwaru.

Hackeři také používají nepodepsané nebo volně podepsané binární soubory. WDAC se spoléhá na digitální podpisy k ověření pravosti aplikace. Útočníci však někdy zneužívají nesprávné konfigurace, kde jsou volně podepsané nebo nepodepsané binární soubory omylem povoleny, což jim umožňuje spouštět škodlivé kódy.

Jakmile útočník obejde WDAC, může spouštět škodlivý kód bez označení tradičními bezpečnostními řešeními. To znamená, že mohou nasadit ransomware, instalovat záložní vchody nebo se pohybovat v síti bez vyvolání okamžitého podezření. Vzhledem k tomu, že mnoho z těchto útoků používá integrované nástroje systému Windows, detekce škodlivé aktivity se stává ještě obtížnější.

Vzhledem k tomu, že tento útok zneužívá zranitelnost v rámci WDAC, existuje jen málo, co můžete udělat pro úplnou ochranu. Závisí na společnosti Microsoft, aby tento problém vyřešila. Zde je však několik osvědčených postupů, které můžete dodržovat, abyste snížili své riziko:

1. Udržujte systém Windows aktualizovaný: Microsoft pravidelně vydává bezpečnostní aktualizace, které opravují zranitelnosti, včetně těch, které se týkají WDAC. Udržování Windows a Microsoft Defender aktuálních zajišťuje nejnovější ochranu před známými hrozbami.

2. Buďte opatrní při stahování softwaru: Instalujte aplikace pouze z důvěryhodných zdrojů, jako je Microsoft Store nebo oficiální webové stránky dodavatelů. Vyvarujte se pirátského softwaru, protože může obsahovat škodlivý kód, který obejde bezpečnostní ochrany, jako je WDAC.

3. Používejte silný antivirový software: Zpráva nenaznačuje, že by hackeři k obejití WDAC potřebovali interakci s uživatelem. Metody popsané v článku naznačují, že útočník by mohl tyto zranitelnosti zneužít bez přímého vstupu od uživatele, zejména pokud má již určitou úroveň přístupu k systému. Nicméně v reálných scénářích útočníci často kombinují takové exploity se sociálním inženýrstvím nebo phishingem, aby získali počáteční přístup.

Ačkoli Windows Defender Application Control (WDAC) nabízí cennou vrstvu zabezpečení, není neomylný. Hackeři aktivně vyvíjejí a používají techniky obejití WDAC k zneužití mezer v systémové obraně. Pochopení toho, jak obejití WDAC funguje, je nezbytné k ochraně vašich zařízení. Udržováním softwaru aktuálního, používáním důvěryhodných aplikací a spoléháním se na renomované bezpečnostní nástroje můžete výrazně snížit své riziko.