Onderzoekers leiden Windows Defender om de tuin
Windows Defender, het standaard beveiligingsprogramma dat op élke Windows-pc geïnstalleerd staat, blijkt een ernstige kwetsbaarheid te hebben. De beveiliging kan zodanig om de tuin geleid worden dat er geen dreigingen meer worden tegengehouden.
Het zijn onderzoekers van SafeBreach die de problemen met Microsoft Defender tegen het lijf liepen. Meer nog: de kwetsbaarheid zit niet enkel in de software van Microsoft, maar is ook aanwezig in beveiligingsprogramma’s van Kaspersky. Onder normale omstandigheden hebben die programma’s een database, waartegen ze nieuwe bestanden en programma’s gaan vergelijken. Komt een bestand in de database van Microsoft of Kaspersky voor? Dan is de kans groot dat het om malware gaat, en wordt de uitvoer van het bestand of programma tegengehouden.
De rollen omgekeerd
Onderzoekers blijken er nu in te slagen om dat proces om te keren. Ze zorgen ervoor dat Windows Defender en Kaspersky zo’n dreiging herkennen, maar veranderen daarna de werking van het proces. Dit is mogelijk door de manier waarop Microsoft en Kaspersky hun vergelijkingen maken. Dat gebeurt in beide gevallen aan de hand ‘bytehandtekeningen’. Die handtekening is voor alle bestanden, en dus ook voor alle malware verschillend.
Alleen: bij de onderzoekers gaat het niet om échte malware. De onderzoekers nemen zo’n bytehandtekening, en voeren die op verschillende plekken in. Zo maakten ze bijvoorbeeld een gebruiksersaccount, maar als naam voerden ze de handtekening van een virus in. Ook wanneer je een account aanmaakt op een website en die bytehandtekening invult, kan dat gevolgen hebben.
Database verwijderd
Je gegevens worden namelijk in een database bijgehouden. Dat geldt voor alle gebruikers op een Windows-pc, maar even goed voor al je wachtwoorden en gebruikersnamen. Gebruik je daar echter zo’n bytehandtekening van één of ander virus voor, dan zal dat de alarmbellen bij Windows Defender of Kaspersky doen afgaan. De antivirusprogramma’s zullen de database als ‘kwaadaardig’ markeren, en mogelijk zelfs verwijderen, afhankelijk van hoe je het programma instelde.
Op die manier kunnen hackers antivirusprogramma’s aanwenden om schade aan te richten op pc’s. Het is niet duidelijk of deze lekken daadwerkelijk uitgebuit werden. Zowel Kaspersky als Microsoft losten het probleem zo goed mogelijk op. Dat liep niet van een leien dakje: na meerdere updates kwam de fabrikant met een halfslachtige oplossing. Daardoor wordt het echter zó moeilijk om het veiligheidslek uit te buiten, dat Microsoft het als een non-issue beschouwt.