לא פרצה או תקיפה: מה גורם ל-Windows לכבות את האנטי-וירוס?

תמונה: מיקרוסופט דרך Unsplash

הכרתם כבר את הכלי שמנטרל את ההגנה של Windows בלחיצת כפתור? קוראים לו Defendnot, והוא לא כלי מתקפה מתוחכם ולא קוד זדוני שמתפשט ברקע, הוא פשוט משתמש במנגנון של ווינדוס נגד עצמה. הפעם זה "רק" כלי מחקרי, אבל הסיפור שהוא מספר אמור להדליק נורה אדומה לכל מי שסומך בעיניים עצומות על ברירות המחדל של מיקרוסופט ולא מוסיף לפחות שכבת הגנה אחת משל עצמו.

הסיפור פשוט מאוד: Defendnot לא מנצל פרצת אבטחה, אלא פשוט אומר למערכת – "היי, יש לי כבר אנטי-וירוס משלי, לא צריך את שלך". ומה עושה Windows? מכבה את Microsoft Defender מבלי לנסות אפילו לאמת את האמירה ולוודא שכך היא צריכה לפעול.

כך זה עובד

ווינדוס מגיעה עם מנגנון אבטחה מובנה בשם Windows Security Center, שמזהה אם יש תוכנת אנטי-וירוס פעילה במערכת. אם יש, Defender מכבה את עצמו כדי לא להתנגש איתה. Defendnot מנצל את העובדה הזו ומריץ קוד שמתחזה לתוכנת אנטי-וירוס לגיטימית.  בעצם, המערכת פועלת כמו עובד מותש ועייף ביום חמישי שרק רוצה לצאת לנוח בסופ"ש, ופשוט מקבלת את המצב כמו שהוא, בלי לשאול שאלות.

החוקר שיצר את הכלי בנה אותו כך שיעבוד גם בלי חתימות דיגיטליות או פרצות – הוא פשוט מזריק קוד לאחד מהתהליכים שווינדוס סומכת עליהם (Taskmgr.exe), נרשם כמנוע אבטחה ו-Defender פשוט נעלם.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

בעיה תכנונית עמוקה

למה זה בכלל משנה? כי זה תרגיל שממחיש בעיה תכנונית עמוקה: המערכת לא בודקת אם באמת מותקנת תוכנת אבטחה לגיטימית, היא רק בודקת אם מישהו אמר לה שכן. ברוב הארגונים, ובטח בתחנות קצה, אף אחד לא בודק אם הרישום הזה אמיתי.

אז אמנם הכלי הזה הוא לא כלי תקיפה אלא נבנה לצרכים מחקריים, כדי להמחיש כמה קל לעקוף את ההגנות של ווינדוס בלי לפרוץ דבר – ועדיין הוא מדגים בדיוק למה חשוב לוודא שמנגנוני ניטור בארגון לא סומכים על מה ש-Windows "חושבת", אלא על מה שבאמת קיים.

לזכות מיקרוסופט ייאמר שהם לא התעכבו: Defender כבר מזהה את Defendnot תחת הזיהוי 'Win32/Sabsik.FL!ml', אבל כמו שקורה הרבה בתחום הזה, עצם קיומו של הכלי חשוב יותר מהשאלה אם הוא פעיל כרגע או לא.