Các chuyên gia bảo mật đã tìm ra thủ thuật qua mặt Windows Defender để cho phép bất kỳ phần mềm độc hại nào xâm nhập máy tính. Trước nghiên cứu này, Microsoft tuyên bố họ không có nghĩa vụ phải giải quyết vấn đề chống phần mềm độc hại cho người dùng!?
.jpg "Hacker sử dụng thủ thuật qua mặt Windows Defender để dùng mã độc tấn công máy tính")
Hãng Microsoft cho biết “Kỹ thuật được các nhà nghiên cứu mô tả có tính ứng dụng hạn chế. Để thực hiện thủ thuật thành công, hacker trước tiên cần thuyết phục người dùng đồng ý thực hiện lệnh mở một tập tin không rõ nguồn gốc và không đáng tin cậy. Nếu Hacker có lừa được người dùng đi chăng nữa thì Windows Defender Antivirus và và Windows Defender Advanced Threat Protection cũng sẽ phát hiện hành động tiếp theo của hacker."
Thế nhưng, nhóm nghiên cứu CyberArk – Doron Naim và Kobi Ben Naim, thì lại nghĩ khác, họ cho rằng thủ thuật tấn công mà họ nghiên cứu với tên gọi là Illusion Gap hoàn toàn có khả năng ảnh hưởng đến các sản phẩm chống virus khác. Hacker còn có thể khai thác giao thức SMB, lừa Windows Defender quét tập tin và thực hiện chương trình độc hại thay vì chuyển tới hệ điều hành.
Do đó, hacker trước tiên sẽ lừa người dùng thực hiện một khai thác được lưu trữ trên SMB, chuyển tập tin độc hại đến Windows PE Loader và Windows Defender. Một khi PE Loader khởi chạy các tập tin thì phần mềm độc hại từ SMB sẽ được đưa vào thiết bị. Dù cho Windows Defender có quét các tập tin này chăng nữa thì nó cũng chỉ quét được các tập tin lành tính. Trong khi đó, PE Loader vẫn sẽ thực hiện lệnh đối với các tệp tin độc hại.
Ben Naim cho rằng một cuộc tấn công như vậy chỉ là bước đầu của Hacker mà thôi. Một khi xâm nhập được vào thiết bị, kẻ tấn công chắc chắn sẽ khai thác những lỗ hổng khác với nhiều thủ thuật và hình thức tinh vi hơn.
Thêm vào đó, đây không chỉ là một kịch bản giả thuyết mà là một cơ chế thực sự mà hacker có thể áp dụng để xâm nhập vào thiết bị thông qua Windows Defender.
Đứng trước kết quả nghiên cứu này, Microsoft lại cho rằng kể từ khi người dùng đưa ra nhận định “hacker yêu cầu người dùng tin tưởng và chạy mã độc hại từ giao thức SMB” thì mọi thứ đã không thuộc về vấn đề bảo mật rồi. Vấn đề là ở người dùng đã bị đánh lừa, chứ không phải Windows Defender bị đánh lừa.
Ben Naim thì cho rằng phản ứng này khá lố bịch. Nếu đã phát triển một sản phẩm bảo mật thì phải làm sao cho sản phẩm được nâng cáo tính an ninh chứ không thể đổ lỗi cho người dùng. Ông nhấn mạnh thậm chí nếu Windows Defender có quét hay không quét tập tin đi nữa, nó vẫn sẽ cho phép quá trình tấn công thực hiện.
Vậy theo các bạn, Microsoft nhận định như vậy có đúng hay không? Phải chăng nếu người dùng đã có khả năng tự xác định đâu là yêu cầu chính thức từ máy tính, đâu là yêu cầu từ Hacker thì có lẽ họ cũng không cần đến phần mềm diệt virus nữa?