יועץ אבטחת מידע   |   מרץ 31, 2025

האם ההגנה של מיקרוסופט נפרצה?

מתקפה חדשה עוקפת את Windows Defender Application Control ומאפשרת הרצת קוד זדוני במערכות Windows. כך תתכוננו לאיום החדש ותשמרו על הארגון.

עוקפים את ההגנות: חשיפה של עקיפת Windows Defender

פרצת אבטחה חדשה מאפשרת לתוקפים לעקוף את מנגנון בקרת האפליקציות של מיקרוסופט

מערכת ההפעלה Windows מגיעה עם מנגנון הגנה שנקרא Windows Defender Application Control (WDAC), שתפקידו למנוע הפעלה של תוכנות לא מאושרות.
חוקרי אבטחה מ־IBM גילו שיטה חדשה שמאפשרת לעקוף את מנגנון הגנה זה. הם הדגימו את השיטה בהצלחה על מערכות של חברות פיננסיות, תוך שימוש באפליקציית Teams המוכרת של מיקרוסופט. התוקפים הצליחו להריץ קוד זדוני על ידי שילוב של כמה טכניקות מתוחכמות, תוך ניצול תכונות של אפליקציות שונות ושל מנוע JavaScript שנקרא Node.js.
המשמעות היא שהתוקפים הצליחו לגרום למחשב לבצע פעולות זדוניות בלי שהמערכת תזהה שמדובר בפעולה מסוכנת.

 טכניקות תקיפה מתקדמות ומשולבות

שילוב של כלי מערכת חוקיים וספריות זדוניות

המתקפה התבססה על שילוב של כמה כלים וטכניקות. התוקפים השתמשו בכלי מערכת חוקיים של Windows, שילבו בהם קטעי קוד זדוניים, ניצלו פרצה בהגדרות האבטחה של המערכת, וגילו דרך חדשה להריץ קוד זדוני דרך אפליקציית Teams. שילוב זה אפשר לתוקפים לעקוף את מנגנון ההגנה של Windows, להריץ קוד זדוני מתקדם, ולהשתלט על המחשב מרחוק – בלי שהמערכת תזהה שמדובר בפעולה חריגה.

 לא רק תיאוריה – תקיפה עם השפעה ממשית

המנגנון שנועד להגן הפך לנקודת תורפה

העובדה שהמתקפה בוצעה בפועל מדגישה את הסיכון הטמון בהסתמכות על מדיניות WDAC בלי לוודא הטמעה מלאה ונכונה. כל עוד אפליקציות חתומות רשמית – אך כוללות תכונות המאפשרות טעינת קוד – אפשר לנצל אותן למטרות זדוניות. מיקרוסופט אישרה את קיום הדיווח וציינה כי תנקוט באמצעים הנדרשים להגן על המשתמשים.

המלצות מאת מומחי אבטחת מידע של IPV Security

  1. חסימת כלי מערכת רגישים (LOLBINs) – ודאו שמדיניות ההרשאות חוסמת קובצי מערכת רגישים שאינם נדרשים לפעילות השוטפת, כמו exe או .powershell.exe.
  2. אכיפה של חתימת DLLs – ודאו שמנגנון WDAC מוגדר כך שיאכוף חתימה דיגיטלית גם על ספריות DLL ולא רק על קובצי הרצה.
  3. בדיקת מדיניות החרגות – סקירה מחודשת של כל החריגים במדיניות WDAC הארגונית, יש לוודא שאין חריגים מיותרים שמאפשרים הרצת קוד לא מאובטח.
  4. מניעת שימוש באפליקציות ישנות – מומלץ להסיר גרסאות ישנות של אפליקציות מבוססות Electron, כמו Microsoft Teams Legacy, ולהחליפן בגרסאות מעודכנות.

לסיכום,

פרצת WDAC מדגימה שוב, גם כלי האבטחה המתקדמים ביותר אינם חסינים בפני תקיפה, אם אינם מיושמים כראוי. חשוב לוודא שההגדרות מותאמות לאיומים העדכניים, שהחריגים מינימליים ושהמדיניות מנוהלת באופן שוטף. במקרה של WDAC – האכיפה הנכונה היא ההגנה האמיתית.

למידע נוסף: https://www.forbes.com/sites/daveywinder/2025/03/30/hackers-bypass-windows-defender-security-what-you-need-to-know/?ss=cybersecurity

מעוניינים לבצע מבדקי חדירה תשתיתיים ואפליקטיביים? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה