- Microsoftin Defender-virustorjuntaohjelmistossa on virhe, joka voi antaa hakkereiden suorittaa haitallista koodia haavoittuvissa Windows-tietokoneissa.
- Tämä ongelma on vaikuttanut Windows 10 21H1:een ja Windows 10 21H2:een ainakin kahdeksan vuoden ajan; kuitenkin vasta äskettäin se löydettiin ja tunnistettiin.
- Virus antaa hakkereille mahdollisuuden tallentaa haittaohjelmia tietokoneen ei-rutiinialueille, jolloin he voivat ohittaa virustarkistukset.
Hyökkääjä voi hyödyntää Microsoft Defenderin virustorjuntaominaisuuden heikkoutta istuttaakseen haittaohjelmia paikkoihin, jotka Windows Defender sulkee pois tarkistuksesta.
Ongelma on ollut olemassa ainakin kahdeksan vuotta, vaikka se havaittiin vasta äskettäin ja se vaikuttaa Windows 10 21H1:een ja Windows 10 21H2:een.
Lisää sijainteja
Microsoft Defender voi sulkea tietyt tietokoneesi sijainnit pois tarkistuksesta varmistaakseen, että tärkeitä tietoja sisältävät alueet eivät vahingossa vahingoitu virustentorjuntatarkistuksen seurauksena.
On monia laillisia ohjelmistosovelluksia, jotka useista syistä virustentorjuntaohjelmat tunnistavat virheellisesti haittaohjelmiksi ja asettavat siten karanteeniin tai estävät pääsyn tietokoneeseen.
Jos käyttäjä sisällyttää käyttäjänimen poikkeusluetteloonsa, se saattaa antaa hyökkääjän hyödyllistä tietoa järjestelmästä. Sen avulla he voivat tallentaa haitallisia tiedostoja tietokoneen alueille, joita ei etsitä rutiinitarkistuksen aikana.
Tietoturvatutkijat havaitsivat, että Microsoftin Defender-tietoturvaohjelmisto sulkee pois vaarallisten paikkojen luettelon skannauksesta, mutta kuka tahansa paikallinen käyttäjä voi käyttää sitä.
Vaarallinen kattavuus
Vaikka Windows Defender saa tarkistaa haittaohjelmien ja vaarallisten tiedostojen varalta rekisteristä, paikalliset käyttäjät voivat tehdä kyselyitä rekisteristä selvittääkseen, mitä polkuja Defender ei saa tarkistaa.
Antonio Cocomazzi, uhkatutkija, jonka tunnustetaan RemotePotato0-haavoittuvuuden löytämisestä, huomauttaa, että näille tiedoille ei ole turvallisuutta.
Vaikka Microsoft Defender ei tarkista kaikkea, sen "reg query" -komento paljastaa, mitä ohjelmaa ei kehotetaan tarkistamaan, mukaan lukien tiedostot, kansiot, laajennukset ja prosessit.
Toinen Windowsin tietoturvaasiantuntija Nathan McNulty sanoo, että ongelma esiintyy vain Windows 10 -versioissa 21H1 ja 21H2, mutta se ei vaikuta Windows 11:een.
Ryhmäkäytäntöasetukset
Toinen tapa saada ryhmäkäytäntöasetukset on napata poissulkemisten luettelo rekisteristä. Nämä tiedot antavat yksityiskohtia poissuljettavista asioista, ja ne ovat arkaluontoisempia kuin pelkkä luettelo, mitkä asetukset ovat aktiivisia tietyssä tietokoneessa.
Microsoft suosittelee, että poistat automaattiset poissulkemiset käytöstä Microsoft Defender kun palvelinalustaa ei ole omistettu Microsoft-pinolle, McNulty sanoo. Jos palvelin käyttää muuta kuin Microsoftin ohjelmistoa, sinun tulee sallia Defenderin tarkistaa mielivaltaiset sijainnit.
Vaikka paikalliset käyttöoikeudet omaava hyökkääjä voi saada Microsoft Defenderin poissulkemisluettelon, tämä on pieni haaste ratkaistavaksi.
Kun yritysverkko on jo vaarantunut, hyökkääjät etsivät usein tapoja liikkua vähemmän havaittavilla työkaluilla.
Täysi tarkistus
Microsoft Defender sallii tiettyjen kansioiden poissulkemisen estääkseen virustorjuntaa tarkistamasta tiedostoja kyseisissä paikoissa. Haittaohjelman tekijä voi sitten tallentaa ja suorittaa tartunnan saaneita tiedostoja näistä kansioista huomaamatta.
Vanhempi tietoturvakonsultti kertoo, että hän huomasi ongelman ensimmäisen kerran noin kahdeksan vuotta sitten ja ymmärsi heti sen mahdollisen haitallisen käytön.
"Olen aina sanonut itselleni, että jos olisin jonkinlainen haittaohjelmien kehittäjä, katsoisin vain WD-poikkeukset ja varmistaisin, että pudota hyötykuormani poissuljettuun kansioon ja/tai nimeä se samalla tavalla kuin poissuljettu tiedostonimi tai laajennus", selitti Aura.
Jos olet Microsoft-ympäristön verkonvalvoja, tutustu Microsoftin ohjeisiin tietoja siitä, kuinka voit sulkea Defender-ohjelman pois skannauksesta ja toiminnasta kaikilla palvelimillasi ja paikallisilla palvelimilla koneita.
Mitkä ovat suurimmat huolenaiheesi porsaanreiästä, joka antaa hakkereille mahdollisuuden ohittaa Microsoft Defenderin? Jaa ajatuksesi kanssamme alla olevassa kommenttiosassa.
