Onderzoekers hebben vastgesteld dat Windows Defender, dat standaard op elke Windows-computer is geïnstalleerd, in plaats van bescherming juist schade kan veroorzaken door een ernstige kwetsbaarheid. Dit beveiligingsprogramma kan zo misleid worden dat het geen bedreigingen meer detecteert.
De kwetsbaarheid werd ontdekt door het team van SafeBreach en blijkt niet alleen een probleem te zijn bij Microsoft Defender, maar ook bij beveiligingssoftware van Kaspersky. Normaal gesproken vergelijken deze programma’s nieuwe bestanden en programma’s met een database om te controleren op malware. Als een bestand als schadelijk herkend wordt in de database, wordt de uitvoering ervan geblokkeerd.
Windows Defender en Kaspersky gemanipuleerd
Echter, onderzoekers hebben aangetoond dat ze dit proces kunnen omkeren. Ze manipuleren Windows Defender en Kaspersky zodanig dat deze programma’s de dreiging wel herkennen, maar vervolgens de operationele procedures wijzigen. Dit wordt mogelijk gemaakt door de manier waarop zowel Microsoft als Kaspersky ‘bytehandtekeningen’ gebruiken voor de identificatie van bestanden, waaronder malware.
De onderzoekers gebruikten echter geen echte malware. Ze namen een bytehandtekening van een virus en pasten deze op verschillende plaatsen toe, zoals de naam van een gebruikersaccount of bij het aanmaken van een account op een website. Dit heeft gevolgen voor de wijze waarop gegevens worden opgeslagen. Als een bytehandtekening van malware wordt gebruikt in gegevensopslag, zoals voor gebruikersnamen of wachtwoorden, kan dit ervoor zorgen dat Windows Defender of Kaspersky de gehele database als kwaadaardig bestempelt en mogelijk zelfs verwijdert, afhankelijk van de instellingen van het programma.
Zo kunnen kwaadwillenden misbruik maken van antivirusprogramma’s om computers te beschadigen. Hoewel het onduidelijk is of deze kwetsbaarheden daadwerkelijk zijn uitgebuit, hebben zowel Kaspersky als Microsoft maatregelen genomen om de problemen aan te pakken. Na diverse updates kwam er een compromisoplossing die het veel moeilijker maakt om het beveiligingslek te benutten, waardoor Microsoft het nu als een non-issue beschouwt.