- Το λογισμικό προστασίας από ιούς Defender της Microsoft έχει ένα ελάττωμα που θα μπορούσε να επιτρέψει στους χάκερ να εκτελούν κακόβουλο κώδικα σε ευάλωτους υπολογιστές με Windows.
- Για τουλάχιστον οκτώ χρόνια, αυτό το ζήτημα επηρεάζει τα Windows 10 21H1 και Windows 10 21H2. Ωστόσο, μόλις πρόσφατα ανακαλύφθηκε και αναγνωρίστηκε.
- Ο ιός επιτρέπει στους χάκερ να αποθηκεύουν κακόβουλα προγράμματα σε μη συνηθισμένες περιοχές του υπολογιστή, επιτρέποντάς τους να παρακάμπτουν τις σαρώσεις προστασίας από ιούς.
Ένας εισβολέας μπορεί να εκμεταλλευτεί μια αδυναμία στη δυνατότητα προστασίας από ιούς του Microsoft Defender για να εγκαταστήσει κακόβουλο λογισμικό σε τοποθεσίες που το Windows Defender εξαιρεί από τη σάρωση.
Το ζήτημα υπάρχει εδώ και τουλάχιστον οκτώ χρόνια, αν και μόλις πρόσφατα εντοπίστηκε και επηρεάζει τα Windows 10 21H1 και Windows 10 21H2.
Προσθήκη τοποθεσιών
Το Microsoft Defender μπορεί να αποκλείσει συγκεκριμένες τοποθεσίες στον υπολογιστή σας από τη σάρωση, για να βεβαιωθεί ότι οι περιοχές που περιέχουν σημαντικές πληροφορίες δεν έχουν καταστραφεί ακούσια από σάρωση προστασίας από ιούς.
Υπάρχουν πολλές νόμιμες εφαρμογές λογισμικού που, για διάφορους λόγους, τα προγράμματα προστασίας από ιούς αναγνωρίζουν λανθασμένα ως κακόβουλο λογισμικό και έτσι τίθενται σε καραντίνα ή αποκλείουν την πρόσβαση σε έναν υπολογιστή.
Εάν ένας χρήστης περιλαμβάνει ένα όνομα χρήστη στη λίστα εξαιρέσεών του, μπορεί να δώσει έναν εισβολέα χρήσιμες πληροφορίες για το σύστημα. Τους επιτρέπει να αποθηκεύουν κακόβουλα αρχεία σε περιοχές του υπολογιστή που δεν αναζητούνται κατά τη διάρκεια μιας τακτικής σάρωσης.
Οι ερευνητές ασφαλείας διαπίστωσαν ότι το λογισμικό ασφαλείας Defender της Microsoft εξαιρεί μια λίστα επικίνδυνων τοποθεσιών από τη σάρωση, αλλά ότι οποιοσδήποτε τοπικός χρήστης μπορεί να έχει πρόσβαση σε αυτήν.
Παραβιασμένη κάλυψη
Παρόλο που το Windows Defender επιτρέπεται να ελέγχει για κακόβουλο λογισμικό και επικίνδυνα αρχεία στο μητρώο, οι τοπικοί χρήστες μπορούν να υποβάλουν ερωτήματα στο μητρώο για να προσδιορίσουν ποιες διαδρομές δεν επιτρέπεται να ελέγξει το Defender.
Ο Antonio Cocomazzi, ο ερευνητής απειλών που πιστώθηκε με την ανακάλυψη της ευπάθειας RemotePotato0, σημειώνει ότι δεν υπάρχει ασφάλεια για αυτές τις πληροφορίες.
Παρόλο που το Microsoft Defender δεν σαρώνει τα πάντα, η εντολή «reg query» αποκαλύπτει τι έχει οδηγίες να μην σαρώνει το πρόγραμμα, συμπεριλαμβανομένων αρχείων, φακέλων, επεκτάσεων και διεργασιών.
Ένας άλλος ειδικός σε θέματα ασφάλειας των Windows, ο Nathan McNulty, λέει ότι το πρόβλημα υπάρχει μόνο στις εκδόσεις 21H1 και 21H2 των Windows 10, αλλά δεν θα επηρεάσει τα Windows 11.
Ρυθμίσεις πολιτικής ομάδας
Ένας άλλος τρόπος για να λάβετε ρυθμίσεις πολιτικής ομάδας είναι να συλλάβετε τη λίστα εξαιρέσεων από το μητρώο. Αυτές οι πληροφορίες παρέχουν λεπτομέρειες σχετικά με το τι εξαιρείται και είναι πιο ευαίσθητες από το να αναφέρουν απλώς ποιες ρυθμίσεις είναι ενεργές σε έναν συγκεκριμένο υπολογιστή.
Η Microsoft συνιστά να απενεργοποιήσετε τις αυτόματες εξαιρέσεις στο Microsoft Defender Όταν η πλατφόρμα διακομιστή δεν είναι αφιερωμένη στη στοίβα της Microsoft, λέει ο McNulty. Εάν ένας διακομιστής εκτελεί λογισμικό που δεν ανήκει στη Microsoft, θα πρέπει να επιτρέψετε στο Defender να σαρώνει αυθαίρετες τοποθεσίες.
Παρόλο που η λίστα εξαιρέσεων του Microsoft Defender μπορεί να ληφθεί από έναν εισβολέα με τοπική πρόσβαση, αυτή είναι μια μικρή πρόκληση που πρέπει να ξεπεραστεί.
Όταν ένα εταιρικό δίκτυο είναι ήδη σε κίνδυνο, οι εισβολείς συχνά αναζητούν τρόπους να μετακινηθούν χρησιμοποιώντας λιγότερο ευδιάκριτα εργαλεία.
Πλήρης σάρωση
Το Microsoft Defender επιτρέπει την εξαίρεση ορισμένων φακέλων για να εμποδίζει το πρόγραμμα προστασίας από ιούς να σαρώνει αρχεία σε αυτές τις τοποθεσίες. Ο συντάκτης κακόβουλου λογισμικού μπορεί στη συνέχεια να αποθηκεύσει και να εκτελέσει μολυσμένα αρχεία από αυτούς τους φακέλους χωρίς να εντοπιστεί.
Ένας ανώτερος σύμβουλος ασφαλείας λέει ότι παρατήρησε για πρώτη φορά το ζήτημα πριν από περίπου οκτώ χρόνια και αμέσως κατάλαβε τις δυνατότητές του για κακόβουλη χρήση.
«Πάντα έλεγα στον εαυτό μου ότι αν ήμουν κάποιου είδους προγραμματιστής κακόβουλου λογισμικού, θα έψαχνα απλώς τις εξαιρέσεις του WD και θα φρόντιζα να ρίχνω το ωφέλιμο φορτίο μου σε έναν αποκλεισμένο φάκελο και/ή ονομάζω το ίδιο με ένα όνομα αρχείου ή επέκταση που έχει εξαιρεθεί», εξήγησε Αύρα.
Εάν είστε διαχειριστής δικτύου για περιβάλλον Microsoft, συμβουλευτείτε την τεκμηρίωση της Microsoft πληροφορίες σχετικά με τον τρόπο εξαίρεσης του προγράμματος Defender από τη σάρωση και την εκτέλεση σε όλους τους διακομιστές και τους τοπικούς σας διακομιστές μηχανές.
Ποιες είναι οι κύριες ανησυχίες σας σχετικά με το κενό που δίνει στους χάκερ την ευκαιρία να παρακάμψουν το Microsoft Defender; Μοιραστείτε τις σκέψεις σας μαζί μας στην παρακάτω ενότητα σχολίων.
