+11 голос |
Ошибка в службе Anti-Malware Scan Interface (AMSI) в Windows 10 может приводить к тому, что вредоносное ПО останется необнаруженным при проверке, если его код содержит нулевой символ.
Внедренный в Windows 10, AMSI работает как промежуточное ПО между приложениями и антивирусом. Оно позволяет приложениям проверять, безопасны ли файлы, которые они используют, путем отправки их для проверки антивирусом.
Одной из наиболее важных функций AMSI является проверка исполняемых файлов при запуске и сканирование дополнительных ресурсов, которые могут быть открыты приложением после запуска. Это очень полезно, учитывая растущую тенденцию среди злоумышленников обходить традиционные антивирусные проверки, маскируя атаки с помощью скриптов PowerShell, работающих через легитимные приложения.
Ошибка, обнаруженная исследователем Сатоши Танда (Satoshi Tanda), приводит к тому, что файлы, отправленные для сканирования AMSI, усекаются нулевым символом. Это означает, что злоумышленник может легко скрыть вредоносный код в скрипте, разместив его после нулевого символа. Поскольку AMSI никогда не прочитает этот код, вредоносное ПО будет проходить проверку без каких-либо проблем.
Ошибка уже исправлена в последнем патче для Windows 10 от Microsoft.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |