นักวิจัยจาก CyberArk ได้พัฒนาวิธีการที่สามารถทำให้มัลแวร์ข้ามผ่านการตรวจสอบจาก Windows Defender ได้ อย่างไรก็ตามทางด้าน Microsoft กลับออกมาตอบประเด็นดังกล่าวว่าปัญหานี้นั้นไม่ถือเป็นปัญหาด้านความปลอดภัย และจะไม่มีการแก้ไขใดๆ ในส่วนการทำงานของ Windows Defender
ในรายละเอียดนั้น การข้ามผ่านการตรวจจับนั้นเกี่ยวข้องกับการใช้งาน custom-built SMB server ในการหลอกให้ตัว Windows Defender ไปสแกนตัวไฟล์ปกติ ในขณะที่มัลแวร์ก็จะถูกรันในระบบ ทีมวิจัย CyberArk นำโดย Doron Naim และ Kobi Ben Naim เรียกการโจมตีนี้ว่า Illusion Gap โดยนอกจาก Windows Defender แล้ว Antivirus รายอื่นๆ ก็อาจได้รับผลกระทบด้วยเช่นกัน
Microsoft กล่าวในแถลงการณ์กับทาง CyberArk ว่าการที่ Attacker ต้องให้ user ช่วยกดรันตัวโค้ดอันตรายดังกล่าวจาก SMB share นั้นไม่น่าจะเกี่ยวข้องกับเรื่องของความปลอดภัย แต่เป็นในส่วนของ feature request มากกว่า Ben Naim กล่าวว่านั่นเป็นการตอบโต้ที่แย่มาก เพราะหาก Window Defender ไม่สามารถสแกนไฟล์ได้ ก็ไม่ควรที่จะอนุญาติให้ execute ไฟล์ดังกล่าว และยังบอกอีกว่าหาก Windows Defender สามารระบุที่มาของคำสั่งที่เข้ามาก่อกวนการทำงานได้ ก็อาจช่วยในการป้องกันตัวมันเองและ Antivirus รายอื่นๆ ได้เช่นกัน
ที่มา : Threatpost