- Антивирусният софтуер на Microsoft Defender има недостатък, който може да позволи на хакерите да изпълняват злонамерен код на уязвими компютри с Windows.
- В продължение на поне осем години този проблем засяга Windows 10 21H1 и Windows 10 21H2; обаче едва наскоро той беше открит и идентифициран.
- Вирусът позволява на хакерите да съхраняват злонамерени програми в нерутинни области на компютъра, което им позволява да заобикалят антивирусните сканирания.
Нападателят може да се възползва от слабостта на антивирусната функция на Microsoft Defender, за да постави зловреден софтуер на места, които Windows Defender изключва от сканиране.
Проблемът съществува от поне осем години, въпреки че едва наскоро беше идентифициран и засяга Windows 10 21H1 и Windows 10 21H2.
Добавете местоположения
Microsoft Defender може да изключи конкретни местоположения на вашия компютър от сканиране, за да се увери, че областите, съдържащи важна информация, не са повредени по невнимание от антивирусно сканиране.
Има много легитимни софтуерни приложения, които по различни причини антивирусните програми погрешно идентифицират като зловреден софтуер и по този начин поставят под карантина или блокират достъпа до компютър.
Ако потребител включи потребителско име в списъка си с изключения, това може да даде нападател полезна информация за системата. Тя им позволява да съхраняват злонамерени файлове в области на компютъра, които не се търсят по време на рутинно сканиране.
Изследователите по сигурността установиха, че софтуерът за защита на Defender на Microsoft изключва от сканиране списък с опасни места, но всеки местен потребител може да има достъп до него.
Компрометирано покритие
Въпреки че на Windows Defender е разрешено да проверява за злонамерен софтуер и опасни файлове в системния регистър, локалните потребители могат да отправят заявка към регистъра, за да определят кои пътища няма право да проверява на Defender.
Антонио Кокомаци, изследователят на заплахите, приписван за откриването на уязвимостта RemotePotato0, отбелязва, че няма сигурност за тази информация.
Въпреки че Microsoft Defender не сканира всичко, неговата команда „reg query“ разкрива какво е инструктирано програмата да не сканира, включително файлове, папки, разширения и процеси.
Друг експерт по сигурността на Windows, Нейтън МакНълти, казва, че проблемът присъства само в Windows 10 версии 21H1 и 21H2, но няма да засегне Windows 11.
Настройки на груповата политика
Друг начин да получите настройки за групови правила е да вземете списъка с изключения от регистъра. Тази информация предоставя подробности за това какво се изключва и е по-чувствителна от просто изброяване кои настройки са активни на конкретен компютър.
Microsoft препоръчва да деактивирате автоматичните изключения в Microsoft Defender когато сървърната платформа не е посветена на стека на Microsoft, казва МакНълти. Ако сървър работи със софтуер, различен от Microsoft, трябва да разрешите на Defender да сканира произволни местоположения.
Въпреки че списъкът с изключения на Microsoft Defender може да бъде получен от нападател с локален достъп, това е малко предизвикателство за преодоляване.
Когато корпоративната мрежа вече е компрометирана, нападателите често търсят начини да се придвижват, използвайки по-малко забележими инструменти.
Пълно сканиране
Microsoft Defender позволява изключването на определени папки, за да предпази антивирусната програма да сканира файлове на тези места. След това авторът на зловреден софтуер може да съхранява и изпълнява заразени файлове от тези папки, без да бъде забелязан.
Старши консултант по сигурността казва, че за първи път е забелязал проблема преди около осем години и веднага е разбрал потенциала му за злонамерена употреба.
„Винаги съм си казвал, че ако бях някакъв вид разработчик на зловреден софтуер, просто ще потърся изключенията на WD и ще се уверя, че пуснете полезния ми товар в изключена папка и/или го наименувайте по същия начин като име на изключен файл или разширение“, обясни аура.
Ако сте мрежов администратор за среда на Microsoft, вижте документацията на Microsoft за информация за това как да изключите програмата Defender от сканиране и изпълнение на всички ваши сървъри и локално машини.
Какви са основните ви опасения относно вратичката, която предоставя на хакерите възможността да заобиколят Microsoft Defender? Споделете вашите мисли с нас в секцията за коментари по-долу.
