Главная - Статьи - Антивирусный сканер Windows 10 можно обмануть символом «NULL»
Дата: 1 ноября 2019

Антивирусный сканер Windows 10 можно обмануть символом «NULL»

В интерфейсе антивирусного сканирования Windows 10 обнаружилась уязвимость, которые позволяет вредоносным программам обойти защиту с помощью символа «NULL». Злоумышленникам достаточно внедрить опасный код после этого символа.

Интерфейс антивирусного сканирования AMSI, реализованный в Windows 10, служит посредником между приложениями и антивирусом. С его помощью приложения могут отправлять файлы в антивирус на проверку. Кроме того, он обеспечивает сканирование исполняемых файлов при запуске.

Ошибка, обнаруженная исследователем Сатоси Танда (Satoshi Tanda), приводит к тому, что AMSI прерывает сканирование, если в коде обнаружен символ «NULL». Теоретически это позволяет «протащить» в систему вредоносный код, просто вписав его после проблемного символа.

К счастью, ошибка уже исправлена в последнем пакете обновлений, который вышел для Windows 10 во второй вторник января. По словам Танды, теоретически установки патча достаточно, чтобы полностью закрыть уязвимость, но производителям ПО, которые используют AMSI для сканирования сценариев PowerShell следует проверить, действительно ли интерфейс теперь справляется с обработкой символов «NULL» корректно.

Оставить комментарий

Adblock
detector