Рубрики
МЕНЮ
Виталий Войчук
Этот механизм обеспечивает защиту от угроз, которые не выявляет поиск по сигнатурам, так как злоумышленник выполняет скрипты PowerShell через обычные программы, сообщает "3Dnews".
AMSI позволяет предотвратить атаки, при которых злоумышленник выполняет собственный код с помощью безвредной программы. Исследователь безопасности из Австралии Сатоши Танда обнаружил простой способ обойти защиту AMSI с помощью нулевого символа.
До недавнего времени AMSI сканировал файлы и передавал антивирусу информацию, пока не наталкивался на нулевой символ. Всё, что шло после этого символа, просто игнорировалось.
13 февраля, Microsoft выпустила обновления безопасности, в которых заменила одну из команд в библиотеке System.Management.Automation.dll, благодаря чему AMSI теперь работает корректно.
"Теоретически, кроме установки обновлений, больше никаких действий от пользователя не требуется", — отметил Танда, добавив, что разработчикам программ стоит проверить, насколько корректно для них сейчас работает AMSI.
Эксперт порекомендовал авторам антивирусов проверить, не теряют ли их программы код, размещённый под нулевым символом, как это до недавнего времени делал AMSI.
Фото: "3Dnews"
Обсуждения
Новости партнеров
Новости