- يشتمل برنامج الحماية من الفيروسات Microsoft Defender على عيب قد يسمح للقراصنة بتنفيذ تعليمات برمجية ضارة على أجهزة الكمبيوتر التي تعمل بنظام Windows.
- لمدة ثماني سنوات على الأقل ، أثرت هذه المشكلة على Windows 10 21H1 و Windows 10 21H2 ؛ ومع ذلك ، لم يتم اكتشافه وتحديد هويته إلا مؤخرًا.
- يسمح الفيروس للمتسللين بتخزين البرامج الخبيثة في مناطق غير روتينية من الكمبيوتر ، مما يسمح لهم بتجاوز عمليات فحص مكافحة الفيروسات.
يمكن للمهاجم الاستفادة من نقطة ضعف في ميزة مكافحة الفيروسات Microsoft Defender لزرع برامج ضارة في المواقع التي يستبعدها Windows Defender من الفحص.
كانت المشكلة موجودة منذ ثماني سنوات على الأقل على الرغم من أنه تم تحديدها مؤخرًا وتؤثر على نظامي التشغيل Windows 10 21H1 و Windows 10 21H2.
أضف المواقع
يمكن لـ Microsoft Defender استبعاد مواقع محددة على جهاز الكمبيوتر الخاص بك من الفحص ، للتأكد من أن المناطق التي تحتوي على معلومات مهمة لا تتضرر عن غير قصد بفحص مكافحة الفيروسات.
هناك العديد من تطبيقات البرامج الشرعية التي ، لأسباب مختلفة ، تعرّف برامج مكافحة الفيروسات عن طريق الخطأ على أنها برامج ضارة ، وبالتالي تحجر أو تمنع الوصول إلى جهاز كمبيوتر.
إذا قام المستخدم بتضمين اسم مستخدم في قائمة الاستثناءات الخاصة به ، فقد يعطي ذلك أحد المهاجمين معلومات مفيدة عن النظام. يسمح لهم بتخزين الملفات الضارة في مناطق الكمبيوتر التي لا يتم البحث عنها أثناء الفحص الروتيني.
اكتشف باحثو الأمن أن برنامج أمان Defender من Microsoft يستبعد قائمة بالمواقع الخطرة من الفحص ، ولكن يمكن لأي مستخدم محلي الوصول إليها.
تغطية مخترقة
على الرغم من أنه يُسمح لـ Windows Defender بالتحقق من البرامج الضارة والملفات الخطرة في السجل ، يمكن للمستخدمين المحليين الاستعلام عن السجل لتحديد المسارات التي لا يُسمح لـ Defender بفحصها.
يشير أنطونيو كوكومازي ، الباحث في التهديد الذي يُنسب إليه الفضل في اكتشاف ثغرة أمنية RemotePotato0 ، إلى عدم وجود أمان لهذه المعلومات.
على الرغم من أن Microsoft Defender لا يقوم بفحص كل شيء ، يكشف أمر "استعلام التسجيل" الخاص به ما يُطلب من البرنامج عدم مسحه ضوئيًا ، بما في ذلك الملفات والمجلدات والإضافات والعمليات.
يقول خبير أمان Windows آخر ، ناثان ماكنولتي ، إن المشكلة موجودة فقط في إصدارات Windows 10 21H1 و 21H2 ولكنها لن تؤثر على Windows 11.
إعدادات نهج المجموعة
هناك طريقة أخرى للحصول على إعدادات نهج المجموعة وهي الحصول على قائمة الاستبعادات من التسجيل. توفر هذه المعلومات تفاصيل حول ما يتم استبعاده وهي أكثر حساسية من مجرد سرد الإعدادات النشطة على جهاز كمبيوتر معين.
توصي Microsoft بتعطيل الاستثناءات التلقائية في برنامج Microsoft Defender عندما لا يتم تخصيص النظام الأساسي للخادم لمكدس Microsoft ، كما يقول ماكنولتي. إذا كان الخادم يقوم بتشغيل برنامج غير تابع لـ Microsoft ، فيجب أن تسمح لـ Defender بفحص المواقع العشوائية.
على الرغم من أنه يمكن الحصول على قائمة استثناءات Microsoft Defender بواسطة مهاجم لديه وصول محلي ، إلا أن هذا يعد تحديًا صغيرًا يجب التغلب عليه.
عندما يتم اختراق شبكة الشركة بالفعل ، غالبًا ما يبحث المهاجمون عن طرق للتنقل باستخدام أدوات أقل وضوحًا.
مسح كامل
يسمح Microsoft Defender باستبعاد مجلدات معينة لمنع برنامج مكافحة الفيروسات من فحص الملفات في تلك المواقع. يمكن لمؤلف البرنامج الضار بعد ذلك تخزين الملفات المصابة وتنفيذها من تلك المجلدات دون أن يتم رصده.
يقول مستشار أمني كبير إنه لاحظ المشكلة لأول مرة منذ حوالي ثماني سنوات ، وفهم على الفور إمكانية استخدامها الضار.
"أخبرت نفسي دائمًا أنه إذا كنت أحد مطوري البرامج الضارة ، فسأبحث فقط عن استثناءات WD وأتأكد من ذلك أسقط حمولتي في مجلد مستبعد و / أو قم بتسميتها بنفس اسم امتداد أو اسم ملف مستبعد ، "أوضح هالة.
إذا كنت مسؤول شبكة لبيئة Microsoft ، فاستشر وثائق Microsoft الخاصة بك للحصول على معلومات حول كيفية استبعاد برنامج Defender من المسح والتشغيل على جميع الخوادم والمحلية الآلات.
ما هي مخاوفك الرئيسية بشأن الثغرة التي تتيح للقراصنة فرصة تجاوز Microsoft Defender؟ شاركنا بأفكارك في قسم التعليقات أدناه.
