Нулевой символ позволяет обойти защиту AMSI в Windows 10 - «Новости»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
К выпуску готовится антикризисный SSD Samsung 990 с PCIe 4.0 и скоростью чтения до 7250 Мбайт/с - «Новости сети»
К выпуску готовится антикризисный SSD Samsung 990 с PCIe 4.0 и скоростью чтения до 7250 Мбайт/с - «Новости сети»
Китай испытал самый выносливый апогейный ракетный двигатель в мире — он вдвое превзошёл западные аналоги - «Новости сети»
Китай испытал самый выносливый апогейный ракетный двигатель в мире — он вдвое превзошёл западные аналоги - «Новости сети»
Власти Сингапура арестовали особняк стоимостью $42 млн у подозреваемых в контрабанде ИИ-ускорителей Nvidia - «Новости сети»
Власти Сингапура арестовали особняк стоимостью $42 млн у подозреваемых в контрабанде ИИ-ускорителей Nvidia - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Яндекс запускает платформу ИИ-агентов для Алисы AI - «Новости мира Интернет»
Яндекс запускает платформу ИИ-агентов для Алисы AI - «Новости мира Интернет»
Anthropic представила Claude Sonnet 5 – бюджетную модель с производительностью уровня Opus 4.8 - «Новости мира Интернет»
Anthropic представила Claude Sonnet 5 – бюджетную модель с производительностью уровня Opus 4.8 - «Новости мира Интернет»
Bigme выпустила гибрид смартфона и электронной книги с двумя экранами - «Новости мира Интернет»
Bigme выпустила гибрид смартфона и электронной книги с двумя экранами - «Новости мира Интернет»
Activision вынуждена рекламировать, что Call of Duty: Modern Warfare 4 не будет на релизе в Game Pass - «Новости сети»
Activision вынуждена рекламировать, что Call of Duty: Modern Warfare 4 не будет на релизе в Game Pass - «Новости сети»
Власти США предложили $10 млн за информацию о хакерах, атакующих пользователей WhatsApp и Signal - «Новости сети»
Власти США предложили $10 млн за информацию о хакерах, атакующих пользователей WhatsApp и Signal - «Новости сети»
Новости мира Интернет » Новости » Нулевой символ позволяет обойти защиту AMSI в Windows 10 - «Новости»

Независимый ИБ-специалист Сатоши Танда (Satoshi Tanda) обнаружил, что малварь, в коде которой размещен нулевой символ, без труда проходит сканирование Anti-Malware Scan Interface (AMSI) в Windows 10. К счастью, эта проблема была устранена разработчиками Microsoft на прошлой неделе, — патч вошел в состав февральского «вторника обновлений».


Защитный механизм AMSI был представлен вместе с релизом Windows 10, он представляет собой своеобразное промежуточное звено между приложениями и локальными антивирусными решениями. Так, AMSI позволяет приложению отсылать файл на сканирование локальному защитному ПО, а затем возвращает полученный результат. По сути, использовать AMSI можно для  проверки файлов, памяти, ссылок, скриптов PowerShell, VBScript и так далее.


В частности, инженеры Microsoft предлагают использовать AMSI для обнаружения атак, которые не распознаются классическим антивирусным ПО, полагающимся на сигнатуры. Механизм призван защитить систему от вредоносной активности, которая происходит уже после выполнения (когда малварь  генерирует вредоносную последовательность команд уже после запуска или скачивает что-то из удаленного источника).


Сатоши Танда пишет, что из-за ошибки в коде Anti-Malware Scan Interface работал некорректно. Специалист обнаружил, что встретив в коде нулевой символ, AMSI обрывает сканирование файла, не обращая внимания на данные, расположенные после «символа преткновения».





Так, если злоумышленник, хочет скрыть вредоносную активность от AMSI, ему достаточно добавить перед началом вредоносного кода нулевой символ, что «ослепит» защитный механизм и заставит прервать сканирование.


В своем блоге Танда приводит несколько примеров эксплуатации бага, в том числе рассматривает загрузку и запуск вредоносного файла PowerShell и выполнение PowerShell-комманд, скрытых нулевым символом.


Теперь специалист настоятельно рекомендует всем установить вышедшее на прошлой неделе исправление, а также отдельно советует производителям антивирусных продуктов проверить свои решения на наличие аналогичного бага и убедиться, что нулевые символы не вызывают проблем в работе.


Источник новостиgoogle.com

Независимый ИБ-специалист Сатоши Танда (Satoshi Tanda) обнаружил, что малварь, в коде которой размещен нулевой символ, без труда проходит сканирование Anti-Malware Scan Interface (AMSI) в Windows 10. К счастью, эта проблема была устранена разработчиками Microsoft на прошлой неделе, — патч вошел в состав февральского «вторника обновлений». Защитный механизм AMSI был представлен вместе с релизом Windows 10, он представляет собой своеобразное промежуточное звено между приложениями и локальными антивирусными решениями. Так, AMSI позволяет приложению отсылать файл на сканирование локальному защитному ПО, а затем возвращает полученный результат. По сути, использовать AMSI можно для проверки файлов, памяти, ссылок, скриптов PowerShell, VBScript и так далее. В частности, инженеры Microsoft предлагают использовать AMSI для обнаружения атак, которые не распознаются классическим антивирусным ПО, полагающимся на сигнатуры. Механизм призван защитить систему от вредоносной активности, которая происходит уже после выполнения (когда малварь генерирует вредоносную последовательность команд уже после запуска или скачивает что-то из удаленного источника). Сатоши Танда пишет, что из-за ошибки в коде Anti-Malware Scan Interface работал некорректно. Специалист обнаружил, что встретив в коде нулевой символ, AMSI обрывает сканирование файла, не обращая внимания на данные, расположенные после «символа преткновения». Так, если злоумышленник, хочет скрыть вредоносную активность от AMSI, ему достаточно добавить перед началом вредоносного кода нулевой символ, что «ослепит» защитный механизм и заставит прервать сканирование. В своем блоге Танда приводит несколько примеров эксплуатации бага, в том числе рассматривает загрузку и запуск вредоносного файла PowerShell и выполнение PowerShell-комманд, скрытых нулевым символом. Теперь специалист настоятельно рекомендует всем установить вышедшее на прошлой неделе исправление, а также отдельно советует производителям антивирусных продуктов проверить свои решения на наличие аналогичного бага и убедиться, что нулевые символы не вызывают проблем в работе. Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Смотрите также

А что там на главной? )))



Комментарии )))