Microsoft Windows Defender har en fejl, der lader malware slippe igennem uopdaget

  • Microsofts Defender-antivirussoftware har en fejl, der kan lade hackere udføre ondsindet kode på sårbare Windows-pc'er.
  • I mindst otte år har dette problem påvirket Windows 10 21H1 og Windows 10 21H2; det var dog først for nylig, at det blev opdaget og identificeret.
  • Virusset tillader hackere at gemme ondsindede programmer i ikke-rutinemæssige områder af computeren, hvilket giver dem mulighed for at omgå antivirus-scanninger.

En angriber kan drage fordel af en svaghed i Microsoft Defender-antivirusfunktionen til at plante malware på steder, som Windows Defender udelukker fra scanning.

Problemet har eksisteret i mindst otte år, men først for nylig blev det identificeret og påvirker Windows 10 21H1 og Windows 10 21H2.

Tilføj lokationer

Microsoft Defender kan udelukke bestemte placeringer på din computer fra scanning for at sikre, at områder, der indeholder vigtige oplysninger, ikke utilsigtet beskadiges af en antivirusscanning.

Der er mange legitime softwareapplikationer, som antivirusprogrammer af forskellige årsager fejlagtigt identificerer som malware og dermed sætter karantæne eller blokerer for adgang til en computer.

Hvis en bruger inkluderer et brugernavn på deres liste over undtagelser, kan det give en angriber nyttige oplysninger om systemet. Det giver dem mulighed for at gemme ondsindede filer i områder af computeren, der ikke søges under en rutinescanning.

Sikkerhedsforskere fandt ud af, at Microsofts Defender-sikkerhedssoftware udelukker en liste over farlige steder fra scanning, men at enhver lokal bruger kan få adgang til den.

Kompromitteret dækning

Selvom Windows Defender har tilladelse til at tjekke for malware og farlige filer i registreringsdatabasen, kan lokale brugere forespørge i registreringsdatabasen for at afgøre, hvilke stier Defender ikke må kontrollere.

Antonio Cocomazzi, trusselsforskeren krediteret med opdagelsen af ​​RemotePotato0-sårbarheden, bemærker, at der ikke er nogen sikkerhed for disse oplysninger.

Selvom Microsoft Defender ikke scanner alt, afslører dens "reg query"-kommando, hvad programmet er instrueret i ikke at scanne, herunder filer, mapper, udvidelser og processer.

En anden Windows-sikkerhedsekspert, Nathan McNulty, siger, at problemet kun er til stede på Windows 10 versioner 21H1 og 21H2, men det vil ikke påvirke Windows 11.

Indstillinger for gruppepolitik

En anden måde at få gruppepolitikindstillinger på er at hente listen over undtagelser fra registreringsdatabasen. Disse oplysninger giver detaljer om, hvad der udelukkes og er mere følsomme end blot at angive, hvilke indstillinger der er aktive på en bestemt computer.

Microsoft anbefaler, at du deaktiverer automatiske ekskluderinger i Microsoft Defender når serverplatformen ikke er dedikeret til Microsoft-stakken, siger McNulty. Hvis en server kører ikke-Microsoft-software, bør du tillade Defender at scanne vilkårlige placeringer.

Selvom Microsoft Defender-ekskluderingslisten kan fås af en hacker med lokal adgang, er dette en lille udfordring at overvinde.

Når et virksomhedsnetværk allerede er kompromitteret, er angribere ofte på udkig efter måder at flytte rundt på ved hjælp af mindre mærkbare værktøjer.

Fuld scanning

Microsoft Defender tillader udelukkelse af visse mapper for at forhindre antivirusprogrammet i at scanne filer på disse steder. Malwareforfatteren kan derefter gemme og udføre inficerede filer fra disse mapper uden at blive opdaget.

En senior sikkerhedskonsulent siger, at han først bemærkede problemet for omkring otte år siden og straks forstod dets potentiale for ondsindet brug.

"Har altid sagt til mig selv, at hvis jeg var en slags malware-udvikler, ville jeg bare slå WD-ekskluderingerne op og sørge for at slip min nyttelast i en udelukket mappe og/eller navngiv den det samme som et udelukket filnavn eller filtypenavn," forklarede Aura.

Hvis du er netværksadministrator for et Microsoft-miljø, skal du se din Microsoft-dokumentation for oplysninger om, hvordan du udelukker Defender-programmet fra at scanne og køre på alle dine servere og lokale maskiner.

Hvad er dine største bekymringer over det smuthul, der giver hackere mulighed for at omgå Microsoft Defender? Del dine tanker med os i kommentarfeltet nedenfor.

Microsoft-opdatering vil hjælpe virksomheder med at øge produktiviteten

Microsoft-opdatering vil hjælpe virksomheder med at øge produktivitetenMiscellanea

Med øgede filer på ens computer har det ført til, at medarbejderne mangler vigtig kommunikation eller undlader at udføre vigtigt arbejde, det er her nye opdateringer på OneDrive kommer ind.Microsof...

Læs mere
En anden vigtig funktion kommer til Microsoft Teams

En anden vigtig funktion kommer til Microsoft TeamsMiscellanea

Microsoft fortsætter med at tilføje nye funktioner til sin Teams-samarbejdsplatform.Microsoft Teams gør det nemmere for brugerne at finde relevante oplysninger om de mennesker, de arbejder med.I øj...

Læs mere
Windows 11 topper listen i software, der bruges af de fleste spillere

Windows 11 topper listen i software, der bruges af de fleste spillereMiscellanea

For første gang siden udgivelsen har Windows 11 opnået en score hos spillere ifølge Steams årlige hardwareundersøgelse.Steam har netop udgivet deres årlige undersøgelse om de operativsystemer, dets...

Læs mere