משתמשים במחשב עם האנטי-וירוס המובנה של ווינדוס, דיפנדר? חברת הסייבר הישראלית סייפבריץ' (SafeBreach) מצאה שלוש פרצות אבטחה שמאפשרות להאקרים להפוך את דיפנדר עצמו לסוג של נוזקה. החוקרים הצליחו להראות כיצד ניתן בשלוש דרכים שונות לגרום לו למחוק קבצים מהמחשב שעליו הוא פעיל. מה שהפתיע את החוקרים היה שאחת הפרצות, שככל הנראה הייתה קיימת בדיפנדר כבר לפחות כ-15 שנה אם לא יותר, אפשרה ל"סובב" את האנטי-וירוס נגד המשתמש בעזרת שורת קוד פשוטה בשפת התכנות הפופולרית פייתון.
אך כדי למצוא את הפרצה החמורה הזו החוקרים היו צריכים קודם כל למצוא פרצות אחרות, שהיו קשות יותר להפוך לנשק סייבר. הפרצה הראשונה אותרה כבר בשנה שעברה והוצגה בכנס בלאק האט באירופה; השנייה הוצגה בכנס בלאק האט בארה"ב בתחילת השנה. השלישית והחמורה מכולן טרם טופלה על ידי מיקרוסופט אך כן קיבלה מספר CVE - כלומר הכרה רשמית ממיקרוסופט בכך שהיא קיימת. לשאלת ynet לגבי הטיפול בהמשך בחרו במיקרוסופט שלא לספק תאריך יעד או מסגרת זמן מדויקת לפתרון או לעדכוני אבטחה עתידיים שאמורים לסגור אותה.
עוד בנושא:
תהליך מציאת הפרצות התבצע בהדרגה, כאשר הפרצה הראשונה אתגרה את החוקרים להמשיך ולחקור האם ניתן למנף את דיפנדר בדרכים נוספות. באופן מפתיע, החוקרים אכן הצליחו למצוא חולשות נוספות שמאפשרות להפוך את דיפנדר לסוג של נוזקת מחיקה (wiper) כלומר כזו שיכולה למחוק כל קובץ שזמין על המחשב. מדובר בנוזקות מסוכנות מאוד שמשמשות לסחיטה או לתקיפות סייבר בין מדינות.
תומר בר, ראש תחום מחקר בסייפבריץ', הסביר ל-ynet: "החלטנו לבדוק האם לאחר תיקון הפרצה, המנגנון עדיין ניתן לחדירה. מצאנו כי ניתן, בכל פעם בדרך אחרת, לגרום לאנטי-וירוס למחוק את כל הקבצים החשובים במחשב, מבלי שלמשתמש יש יכולת לעצור את התקיפה. מכיוון שמדובר באנטי-וירוס המובנה במאות מיליונים של מחשבי ושרתי ווינדוס ברחבי העולם, מדובר בסיכון נרחב".
שמואל כהן ועומר אטיאס, חוקרי הסייבר שאיתרו את החולשות במערכת האנטי-וירוס של ווינדוס, הוסיפו: "המחקרים מוכיחים כי תוקפים בעלי יכולות גבוהות שמתמקדים באנטי-וירוס, מנגנון שאמור להיות בעל אבטחה גבוהה, יכולים לגרום שוב ושוב לאיום משמעותי".
ממיקרוסופט נמסר בתגובה: "אנו מאמינים בעקרונות של חשיפת חולשות מתואמת, במסגרתה חוקרי אבטחה מדווחים בצורה אחראית על נקודות תורפה לספק המושפע לפני פרסום כל פרט. לאחר טיפול בפגיעות, החוקרים, אנו מעודדים אותם לשתף את עבודתם ולעזור בחינוך הקהילה. מידע על ה-CVE שאליהם התייחסנו זמין במדריך לעדכון האבטחה".