Black Hat USA 2023 – SafeBreach: “Kẽ hở từ Windows Defender giúp hacker chiếm quyền điều khiển”

26 Tháng Năm, 2023

Sau nhiều năm, giải pháp EDR đã có nhiều phát triển và trở thành giải pháp bảo mật mạnh mẽ nhất cho lớp Endpoint (Máy chủ, máy trạm), cùng với cơ chế bảo mật và Update cơ sở dữ liệu sẵn có của Windows tạo nên khả năng bảo vệ đáng tin cậy trước các mối đe dọa về mã độc.

Tuy nhiên, cùng với sự phát triển từng ngày về công nghệ, kéo theo các mối đe dọa, thách thức ngày càng tăng. Đòi hỏi các hệ thống công nghệ thông tin ngày nay cần được trang bị nhiều lớp bảo mật, cũng như có các chiến lược thực thi nó một cách hiệu quả hơn.

Dựa trên các dữ liệu mà SafeBreach thu thập trên toàn cầu, chuyên gia của SafeBreach đã phát hiện nhiều cuộc tấn công tinh vi, khi chúng sử dụng các chứng chỉ (Certificate) mạo danh là các bản cập nhật của chính Microsoft, nhằm phân phối phần mềm độc hại tới những người dùng, từ đó chiếm quyền điều khiển của họ.

Theo đó, SafeBreach sẽ công bố các nghiên cứu, phát hiện của mình tại hội nghị thường niêm Black Hat 2023 sẽ được tổ chức tại Lasvegas, Mỹ vào ngày 5-10/08/2023. Với sự góp mặt của Tomer Bar – Phó chủ tịch Security Research, SafeBreach và Omer Attias – Chuyên gia bảo mật – Security Research, SafeBreach.

Có nhiều chuyên đề được tổ chức tại buổi hội thảo này, với sự xuất hiện của nhiều tên tuổi lớn trong ngành Bảo Mật. Trong đó các chuyên gia hàng đầu của SafeBreach sẽ trình bày những khám phá thú vị về kiến trúc Windows Defender, định dạng Signature Database, quy trình cập nhật cơ sở dữ liệu và tập trung làm rõ cơ chế xác thực bảo mật của Windows.

Cách thức hoàn toàn mới mà kẻ tấn công có thể chiếm quyền bất kỳ thiết bị sử dụng hệ điều hành Windows nào bằng cách khai thác lỗ hổng ZeroDay mà chuyên gia SafeBreach tin rằng nhiều người cũng không ngờ tới.

Omer Attias sẽ trình diễn Defender-Pretender, một công cụ mã nguồn mở mà SafeBreach phát triển và thực hiện các cuộc tấn công thử nghiệm.

Công cụ Defender-Pretender có khả năng vô hiệu hóa khả năng bảo vệ của các giải pháp phòng chống mã độc và cho phép mọi mã độc thực thi, từ đó Defender thực hiện xóa dữ liệu của quản trị viên và chiếm quyền của máy tính mục tiêu.

Thử nghiệm cũng cho thấy đã đạt được khả năng xóa các tệp trình điều khiển và hệ điều hành dẫn đến một hệ điều hành hoàn toàn không thể khôi phục được. Cuối cùng, Công cụ thậm chí còn cung cấp khả năng thay đổi hành vi của Windows Defender, từ đó thay đổi khả năng bảo vệ của chính công cụ này.

Buổi trình diễn sẽ cho thấy nguy cơ mà Hacker có thể lợi dụng để tấn công các mục tiêu một cách dễ dàng, từ đó các chuyên gia bảo mật có thể xây dựng các phương thức phù hợp để nâng cao khả năng phòng thủ các hệ thống công nghệ thông tin một cách hiệu quả hơn.

Chi tiết xin liên hệ: