Microsoft Windows Defenderis on viga, mis laseb pahavaral märkamatult läbi lipsata

Ründaja võib Microsoft Defenderi viirusetõrjefunktsiooni nõrkust ära kasutada, et paigutada pahavara kohtadesse, mille Windows Defender kontrollimisest välja jätab.

Probleem on eksisteerinud vähemalt kaheksa aastat, kuigi see tuvastati alles hiljuti ja see mõjutab Windows 10 21H1 ja Windows 10 21H2.

Lisa asukohti

Microsoft Defender võib teie arvuti teatud asukohad kontrollimisest välja jätta, et tagada, et viirusetõrjekontroll ei kahjustaks kogemata olulist teavet sisaldavad alad.

On palju seaduslikke tarkvararakendusi, mida viirusetõrjeprogrammid erinevatel põhjustel ekslikult pahavarana tuvastavad ja seega karantiini või arvutile juurdepääsu blokeerivad.

Kui kasutaja lisab oma erandite loendisse kasutajanime, võib see anda ründajale kasulikku teavet süsteemi kohta. See võimaldab neil salvestada pahatahtlikke faile arvuti piirkondadesse, mida rutiinse kontrolli käigus ei otsita.

Turvateadlased leidsid, et Microsofti turvatarkvara Defender välistab ohtlike asukohtade loendi skaneerimisest, kuid sellele pääseb juurde iga kohalik kasutaja.

Ohustatud katvus

Kuigi Windows Defenderil on lubatud kontrollida, kas registris on pahavara ja ohtlikke faile, saavad kohalikud kasutajad teha registrist päringu, et teha kindlaks, milliseid teid Defenderil pole lubatud kontrollida.

Antonio Cocomazzi, ohuuurija, keda tunnustati RemotePotato0 haavatavuse avastamise eest, märgib, et see teave ei ole turvaline.

Kuigi Microsoft Defender ei kontrolli kõike, näitab selle käsk "reg query", mida programmil on käsk mitte kontrollida, sealhulgas faile, kaustu, laiendusi ja protsesse.

Teine Windowsi turbeekspert Nathan McNulty ütleb, et probleem esineb ainult Windows 10 versioonides 21H1 ja 21H2, kuid see ei mõjuta Windows 11.

Grupipoliitika seaded

Teine võimalus rühmapoliitika sätete hankimiseks on haarata registrist väljaarvamiste loend. See teave annab üksikasju selle kohta, mida välistatakse, ja on tundlikum kui lihtsalt konkreetses arvutis aktiivsete sätete loetlemine.

Microsoft soovitab automaatsed välistamised keelata Microsoft Defender kui serveriplatvorm pole Microsofti virna jaoks pühendatud, ütleb McNulty. Kui serveris töötab mitte-Microsofti tarkvara, peaksite lubama Defenderil suvalisi asukohti skannida.

Kuigi Microsoft Defenderi välistamiste loendi saab hankida kohaliku juurdepääsuga ründaja, on see väike väljakutse ületada.

Kui ettevõtte võrk on juba ohustatud, otsivad ründajad sageli võimalusi, kuidas vähem märgatavaid tööriistu kasutades ringi liikuda.

Täielik kontroll

Microsoft Defender võimaldab teatud kaustu välistada, et viirusetõrje nendes asukohtades faile ei skanniks. Pahavara autor saab seejärel salvestada ja käivitada nakatunud faile nendest kaustadest ilma, et teda märgataks.

Vanemturbekonsultant ütleb, et märkas probleemi esimest korda umbes kaheksa aastat tagasi ja mõistis kohe selle pahatahtliku kasutamise võimalust.

"Olen endale alati öelnud, et kui ma oleksin mingi pahavara arendaja, siis otsiksin lihtsalt WD välistusi ja veenduks, et visake minu kasulik koorem välistatud kausta ja/või nimetage see samaks kui välistatud failinimi või laiend," selgitas Aura.

Kui olete Microsofti keskkonna võrguadministraator, vaadake oma Microsofti dokumentatsiooni teave selle kohta, kuidas välistada Defenderi programmi skannimine ja töötamine kõigis teie serverites ja kohalikes serverites masinad.

Millised on teie peamised mured lünga pärast, mis annab häkkeritele võimaluse Microsoft Defenderist mööda minna? Jagage oma mõtteid meiega allpool olevas kommentaaride jaotises.