Дослідники Morphisec виявили серйозну проблему в Microsoft Code Integrity Guard (CIG), яка дозволяє хакерам обходити захист і завантажувати шкідливі бібліотеки в захищені процеси, такі як Microsoft Edge. Ця вразливість, названа CIGslip, може використовуватися для впровадження шкідливого коду без прямого інжекту в пам’ять.

Що сталося? CIGslip використовує не захищені CIG процеси, які є поширеними в Windows, щоб проникнути в захищені процеси, такі як браузер Edge. Зловмисники можуть завантажувати шкідливі DLL, включаючи малварь чи рекламне ПЗ, без виявлення більшістю антивірусів. Цей метод дозволяє хакерам перенаправляти потоки даних або викрадати інформацію, залишаючись непоміченими.

Чому це небезпечно? CIG ускладнює захист Edge для сторонніх антивірусів, оскільки вони потребують підписаних Microsoft DLL. CIGslip обходить цю перевірку, дозволяючи зловмисникам впроваджувати код без підпису, імітуючи стандартне завантаження бібліотек із диска.

Як захиститися?

-Оновіть Windows до останніх версій із виправленнями безпеки.
-Використовуйте антивіруси з функцією моніторингу поведінки для виявлення підозрілих процесів.
-Уникайте запуску ненадійних програм, які можуть використовувати не захищені CIG процеси.
-Слідкуйте за оновленнями від Microsoft щодо виправлення цієї вразливості.

Ця знахідка нагадує: навіть сучасні механізми захисту можуть мати слабкі місця. Будьте пильними та захищайте свої дані!