Malware ที่มีการฝัง null character ไว้ใน code ทำให้สามารถ bypass security scan ที่กระทำโดย Anti-Malware Scan Interface (AMSI) ใน Windows 10 boxes ได้ Microsoft ได้ออก patch ช่องโหว่ในช่วง Patch Tuesday ที่ผ่านมา

ช่องโหว่ดังกล่าวเกิดใน Anti-Malware Scan Interface (AMSI), ซึ่งเป็น security feature หนึ่งที่ทำตัวเป็นตัวกลางระหว่าง app กับ antivirus engines ภายใน

AMSI อนุญาต app ให้สามารถส่งไฟล์ไป scan โดย security software และส่งผลกลับมาให้ว่าเป็น malware หรือไม่ โดย AMSI  เริ่มใช้ใน Windows 10 ซึ่งการกระทำดังกล่าวเป็นการกระทำกับ Antivirus ทุกตัว ไม่ใช่แค่ Windows Defender เท่านั้น

AMSI สามารถ scan ไฟล์ได้ทุปประเภท โดย Microsoft ได้พัฒนา AMSI เพื่อช่วยในการตรวจสอบ script ที่กระทำตอน runtime ไม่ว่าจะเป็น  PowerShell, VBScript, Ruby, และอื่นๆ ซึ่งกลายเป็นวิธีที่มักหลบเลี่ยงการตรวจจับของ signature-based antivirus engines ทั่วไป

หรืออีกนัยหนึ่งก็คือ AMSI ทำตัวเปรียบเมือตัว post-execution scanner เพื่อตรวจสอบ resources ใดๆที่ถูก load หรือถูกทำให้กระทำโดยไฟล์ execute นั่นเอง

จากทั้งหมดแล้ว AMSI เหมือนจะดูมีประสิทธิภาพมาก แต่กลับพลาดอย่างง่ายๆโดย security researcher ที่ชื่อว่า Satoshi Tanda พบว่าตัว AMSI นั้นจะ scan ไฟล์ไปเรื่อยๆจนกระทั่งเจอ null character ซึ่งหาก attacker เอา malicious code ไปไว้ด้านหลัง null character ก็จะกลายเป็นว่า AMSI ก็จะไม่ตรวจสอบ​ malicious code ไปเลย

Tanda แนะนำว่า antivirus engine ควรมีการเทส software ของตัวเองเพื่อให้แน่ใจว่าตัว scan engines จะไม่ข้ามการตรวจสอบไฟล์ใดๆ และช่องโหว่ที่พบนั้นเกิดกับใน AMSI’s Powershell interface เท่านั้น ไม่ได้เกิดกับใน AMSI’s Windows Script Host interpreter แต่อย่างใด

Source:: BleepingComputer