Onderzoekers misleiden Windows Defender

Windows Defender, het standaard beveiligingsprogramma dat op alle Windows-pc’s wordt geïnstalleerd, lijkt een ernstige kwetsbaarheid te hebben. Beveiliging kan zodanig voor de gek worden gehouden dat bedreigingen niet langer kunnen worden tegengehouden.

Het waren SafeBreach-onderzoekers die de problemen met Microsoft Defender ontdekten. Sterker nog: de kwetsbaarheid is niet alleen aanwezig in Microsoft-software, maar ook in beveiligingsprogramma’s van Kaspersky. Onder normale omstandigheden hebben deze programma’s een database waarmee ze nieuwe bestanden en programma’s vergelijken. Bestaat er een bestand in de Microsoft- of Kaspersky-database? Dan is de kans groot dat het om malware gaat en wordt de uitvoering van het bestand of programma gestopt.

De omgekeerde rollen

Nu lijken onderzoekers erin te zijn geslaagd dat proces om te keren. Ze zorgen ervoor dat Windows Defender en Kaspersky de dreiging herkennen, maar veranderen vervolgens de manier waarop het proces werkt. Dit is mogelijk dankzij de manier waarop Microsoft en Kaspersky hun vergelijkingen maken. In beide gevallen gebeurt dit met behulp van “byte signatures”. Deze handtekening is voor alle bestanden en dus ook voor alle malware verschillend.

Alleen de onderzoekers hebben het niet over echte malware. Onderzoekers nemen die bytehandtekening en voeren deze op verschillende plaatsen in. Ze hebben bijvoorbeeld een gebruikersaccount gemaakt, maar een virushandtekening als naam ingevoerd. Dit kan ook gevolgen hebben als je een account aanmaakt op een website en die bytehandtekening invoert.

Databank verwijderd

Uw gegevens worden opgeslagen in een database. Dit geldt voor alle gebruikers van een Windows-pc, maar ook voor al uw wachtwoorden en gebruikersnamen. Als u hiervoor echter een bytehandtekening van een bepaald virus gebruikt, zullen er alarmbellen rinkelen bij Windows Defender of Kaspersky. Antivirusprogramma’s zullen de database als “kwaadaardig” markeren en mogelijk zelfs verwijderen, afhankelijk van hoe u het programma hebt geconfigureerd.

Op deze manier kunnen hackers antivirusprogramma’s gebruiken om schade aan te richten op pc’s. Het is onduidelijk of deze lekken daadwerkelijk zijn uitgebuit. Zowel Kaspersky als Microsoft hebben het probleem zo goed mogelijk opgelost. Dit ging niet goed: na verschillende updates vond de fabrikant een halfslachtige oplossing. Dit maakt het echter zo moeilijk om het beveiligingslek te misbruiken dat Microsoft als een risico beschouwt het is geen probleem beschouwt.