Microsoft Windows Defender har en fejl, der lader malware slippe igennem uopdaget

En angriber kan drage fordel af en svaghed i Microsoft Defender-antivirusfunktionen til at plante malware på steder, som Windows Defender udelukker fra scanning.

Problemet har eksisteret i mindst otte år, men først for nylig blev det identificeret og påvirker Windows 10 21H1 og Windows 10 21H2.

Tilføj lokationer

Microsoft Defender kan udelukke bestemte placeringer på din computer fra scanning for at sikre, at områder, der indeholder vigtige oplysninger, ikke utilsigtet beskadiges af en antivirusscanning.

Der er mange legitime softwareapplikationer, som antivirusprogrammer af forskellige årsager fejlagtigt identificerer som malware og dermed sætter karantæne eller blokerer for adgang til en computer.

Hvis en bruger inkluderer et brugernavn på deres liste over undtagelser, kan det give en angriber nyttige oplysninger om systemet. Det giver dem mulighed for at gemme ondsindede filer i områder af computeren, der ikke søges under en rutinescanning.

Sikkerhedsforskere fandt ud af, at Microsofts Defender-sikkerhedssoftware udelukker en liste over farlige steder fra scanning, men at enhver lokal bruger kan få adgang til den.

Kompromitteret dækning

Selvom Windows Defender har tilladelse til at tjekke for malware og farlige filer i registreringsdatabasen, kan lokale brugere forespørge i registreringsdatabasen for at afgøre, hvilke stier Defender ikke må kontrollere.

Antonio Cocomazzi, trusselsforskeren krediteret med opdagelsen af ​​RemotePotato0-sårbarheden, bemærker, at der ikke er nogen sikkerhed for disse oplysninger.

Selvom Microsoft Defender ikke scanner alt, afslører dens "reg query"-kommando, hvad programmet er instrueret i ikke at scanne, herunder filer, mapper, udvidelser og processer.

En anden Windows-sikkerhedsekspert, Nathan McNulty, siger, at problemet kun er til stede på Windows 10 versioner 21H1 og 21H2, men det vil ikke påvirke Windows 11.

Indstillinger for gruppepolitik

En anden måde at få gruppepolitikindstillinger på er at hente listen over undtagelser fra registreringsdatabasen. Disse oplysninger giver detaljer om, hvad der udelukkes og er mere følsomme end blot at angive, hvilke indstillinger der er aktive på en bestemt computer.

Microsoft anbefaler, at du deaktiverer automatiske ekskluderinger i Microsoft Defender når serverplatformen ikke er dedikeret til Microsoft-stakken, siger McNulty. Hvis en server kører ikke-Microsoft-software, bør du tillade Defender at scanne vilkårlige placeringer.

Selvom Microsoft Defender-ekskluderingslisten kan fås af en hacker med lokal adgang, er dette en lille udfordring at overvinde.

Når et virksomhedsnetværk allerede er kompromitteret, er angribere ofte på udkig efter måder at flytte rundt på ved hjælp af mindre mærkbare værktøjer.

Fuld scanning

Microsoft Defender tillader udelukkelse af visse mapper for at forhindre antivirusprogrammet i at scanne filer på disse steder. Malwareforfatteren kan derefter gemme og udføre inficerede filer fra disse mapper uden at blive opdaget.

En senior sikkerhedskonsulent siger, at han først bemærkede problemet for omkring otte år siden og straks forstod dets potentiale for ondsindet brug.

"Har altid sagt til mig selv, at hvis jeg var en slags malware-udvikler, ville jeg bare slå WD-ekskluderingerne op og sørge for at slip min nyttelast i en udelukket mappe og/eller navngiv den det samme som et udelukket filnavn eller filtypenavn," forklarede Aura.

Hvis du er netværksadministrator for et Microsoft-miljø, skal du se din Microsoft-dokumentation for oplysninger om, hvordan du udelukker Defender-programmet fra at scanne og køre på alle dine servere og lokale maskiner.

Hvad er dine største bekymringer over det smuthul, der giver hackere mulighed for at omgå Microsoft Defender? Del dine tanker med os i kommentarfeltet nedenfor.