- A Microsoft Defender víruskereső szoftverének van egy hibája, amely lehetővé teszi a hackerek számára, hogy rosszindulatú kódokat hajtsanak végre a sebezhető Windows PC-ken.
- Ez a probléma legalább nyolc éve érinti a Windows 10 21H1 és a Windows 10 21H2 rendszert; azonban csak a közelmúltig fedezték fel és azonosították.
- A vírus lehetővé teszi a hackerek számára, hogy rosszindulatú programokat tároljanak a számítógép nem rutinszerű területein, így megkerülhetik a víruskereső vizsgálatokat.
A támadók kihasználhatják a Microsoft Defender víruskereső funkciójának gyengeségét, hogy rosszindulatú programokat telepítsenek olyan helyekre, amelyeket a Windows Defender kizár az ellenőrzésből.
A probléma legalább nyolc éve fennáll, bár csak a közelmúltban azonosították, és a Windows 10 21H1 és Windows 10 21H2 rendszert érinti.
Helyek hozzáadása
A Microsoft Defender kizárhat bizonyos helyeket a számítógépen az ellenőrzésből, hogy megbizonyosodjon arról, hogy a fontos információkat tartalmazó területeket véletlenül nem sérti meg egy víruskereső.
Számos legitim szoftveralkalmazás létezik, amelyeket különböző okok miatt a víruskereső programok tévesen rosszindulatú programként azonosítanak, és így karanténba helyezik vagy blokkolják a számítógéphez való hozzáférést.
Ha egy felhasználó felvesz egy felhasználónevet a kivételek listájába, az támadóhoz vezethet hasznos információkat a rendszerről. Lehetővé teszi számukra, hogy rosszindulatú fájlokat tároljanak a számítógép olyan területein, ahol a rendszer nem keresi a rutinvizsgálat során.
Biztonsági kutatók megállapították, hogy a Microsoft Defender biztonsági szoftvere kizárja a veszélyes helyek listáját a vizsgálatból, de bármely helyi felhasználó hozzáférhet hozzá.
Kompromittált lefedettség
Annak ellenére, hogy a Windows Defender ellenőrizheti a rendszerleíró adatbázisban található rosszindulatú programokat és veszélyes fájlokat, a helyi felhasználók lekérdezhetik a rendszerleíró adatbázist annak meghatározására, hogy a Defender mely útvonalakat nem ellenőrizheti.
Antonio Cocomazzi, a RemotePotato0 sebezhetőség felfedezéséért felelős fenyegetéskutató megjegyzi, hogy ez az információ nincs biztonságban.
Bár a Microsoft Defender nem vizsgál át mindent, a „reg query” parancsa felfedi, hogy a program mit nem kapott, beleértve a fájlokat, mappákat, kiterjesztéseket és folyamatokat.
Egy másik Windows-biztonsági szakértő, Nathan McNulty szerint a probléma csak a Windows 10 21H1 és 21H2 verzióiban van jelen, de a Windows 11-et nem érinti.
Csoportházirend-beállítások
A csoportházirend-beállítások másik módja a kizárások listájának megszerzése a beállításjegyzékből. Ezek az információk részleteket adnak meg arról, hogy mi kerül kizárásra, és érzékenyebb, mint egyszerűen felsorolni, mely beállítások aktívak egy adott számítógépen.
A Microsoft azt javasolja, hogy tiltsa le az automatikus kizárásokat Microsoft Defender amikor a szerverplatform nem a Microsoft veremének van dedikálva, mondja McNulty. Ha egy kiszolgálón nem Microsoft-szoftver fut, engedélyeznie kell a Defendernek, hogy tetszőleges helyeket vizsgáljon.
Annak ellenére, hogy a Microsoft Defender kizárási listáját egy helyi hozzáféréssel rendelkező támadó is megszerezheti, ez egy kis kihívás leküzdése.
Amikor egy vállalati hálózat már feltört, a támadók gyakran keresik a kevésbé észrevehető eszközökkel való mozgást.
Teljes vizsgálat
A Microsoft Defender lehetővé teszi bizonyos mappák kizárását, hogy a víruskereső ne vizsgálja át a fájlokat ezeken a helyeken. A rosszindulatú program szerzője ezután tárolhatja és végrehajthatja a fertőzött fájlokat ezekből a mappákból anélkül, hogy észrevennék.
Egy vezető biztonsági tanácsadó azt mondja, hogy körülbelül nyolc éve vette észre először a problémát, és azonnal megértette a rosszindulatú felhasználás lehetőségét.
„Mindig azt mondtam magamnak, hogy ha valami rosszindulatú program fejlesztő vagyok, akkor csak utánanézek a WD-kizárásoknak, és megbizonyosodnék róla, hogy dobja be a rakományomat egy kizárt mappába, és/vagy nevezze el ugyanúgy, mint egy kizárt fájlnevet vagy kiterjesztést” – magyarázta Aura.
Ha Ön egy Microsoft-környezet hálózati rendszergazdája, tekintse meg a Microsoft dokumentációját információkat arról, hogyan zárhatja ki a Defender programot az összes kiszolgálón és helyi szerveren történő vizsgálatból és futtatásból gépek.
Melyek a fő aggodalmai a kiskapuval kapcsolatban, amely lehetőséget ad a hackereknek a Microsoft Defender megkerülésére? Ossza meg velünk gondolatait az alábbi megjegyzés részben.
