- בתוכנת האנטי וירוס Defender של מיקרוסופט יש פגם שעלול לאפשר להאקרים לבצע קוד זדוני במחשבי Windows פגיעים.
- במשך שמונה שנים לפחות, בעיה זו השפיעה על Windows 10 21H1 ו-Windows 10 21H2; עם זאת, רק לאחרונה הוא התגלה וזוהה.
- הווירוס מאפשר להאקרים לאחסן תוכניות זדוניות באזורים לא שגרתיים במחשב, מה שמאפשר להם לעקוף סריקות אנטי-וירוס.
תוקף יכול לנצל חולשה בתכונת האנטי-וירוס של Microsoft Defender כדי לשתול תוכנות זדוניות במיקומים ש-Windows Defender מוציא מהסריקה.
הבעיה קיימת לפחות שמונה שנים אם כי רק לאחרונה היא זוהתה ומשפיעה על Windows 10 21H1 ו-Windows 10 21H2.
הוסף מיקומים
Microsoft Defender יכולה לא לכלול מיקומים ספציפיים במחשב שלך מסריקה, כדי לוודא שאזורים המכילים מידע חשוב לא ייפגעו בטעות מסריקת אנטי-וירוס.
יש הרבה יישומי תוכנה לגיטימיים שמסיבות שונות תוכנות אנטי-וירוס מזהות בטעות כתוכנות זדוניות ובכך חוסמות או חוסמות את הגישה למחשב.
אם משתמש כולל שם משתמש ברשימת החריגים שלו, זה עלול לתת לתוקף מידע שימושי על המערכת. היא מאפשרת להם לאחסן קבצים זדוניים באזורים של המחשב שלא מחפשים אותם במהלך סריקה שגרתית.
חוקרי אבטחה גילו שתוכנת האבטחה Defender של מיקרוסופט אינה כוללת רשימה של מיקומים מסוכנים מסריקה, אך כל משתמש מקומי יכול לגשת אליה.
כיסוי נפגע
למרות ש-Windows Defender רשאי לבדוק אם יש תוכנות זדוניות וקבצים מסוכנים ברישום, משתמשים מקומיים יכולים לבצע שאילתות ברישום כדי לקבוע אילו נתיבים Defender אינו רשאי לבדוק.
אנטוניו Cocomazzi, חוקר האיומים לזכותו גילוי הפגיעות RemotePotato0, מציין שאין אבטחה למידע זה.
למרות ש-Microsoft Defender לא סורקת הכל, פקודת ה-"reg query" שלה חושפת את מה שהתוכנית קיבלה הוראה לא לסרוק, כולל קבצים, תיקיות, הרחבות ותהליכים.
מומחה אבטחה אחר של Windows, Nathan McNulty, אומר שהבעיה קיימת רק ב-Windows 10 גרסאות 21H1 ו-21H2, אך היא לא תשפיע על Windows 11.
הגדרות מדיניות קבוצתית
דרך נוספת לקבל הגדרות מדיניות קבוצתית היא לתפוס את רשימת ההחרגות מהרישום. מידע זה מספק פרטים על מה שלא נכלל והוא רגיש יותר מאשר רק לרשום אילו הגדרות פעילות במחשב מסוים.
Microsoft ממליצה להשבית אי הכללות אוטומטיות ב Microsoft Defender כאשר פלטפורמת השרת אינה מוקדשת למחסנית של מיקרוסופט, אומר McNulty. אם בשרת פועלת תוכנה שאינה של מיקרוסופט, עליך לאפשר ל-Defender לסרוק מיקומים שרירותיים.
אף על פי שניתן להשיג את רשימת החרגות Microsoft Defender על ידי תוקף עם גישה מקומית, זהו אתגר קטן שצריך להתגבר עליו.
כאשר רשת ארגונית כבר נפגעת, תוקפים מחפשים לעתים קרובות דרכים להתנייד באמצעות כלים פחות בולטים.
סריקה מלאה
Microsoft Defender מאפשר אי הכללה של תיקיות מסוימות כדי למנוע מהאנטי-וירוס לסרוק קבצים במיקומים אלה. לאחר מכן, מחבר התוכנה הזדונית יכול לאחסן ולהפעיל קבצים נגועים מתיקיות אלה מבלי שיבחינו בו.
יועץ אבטחה בכיר מספר כי הבחין בבעיה לראשונה לפני כשמונה שנים, והבין מיד את הפוטנציאל לשימוש זדוני.
"תמיד אמרתי לעצמי שאם אני סוג של מפתח תוכנה זדונית הייתי פשוט מחפש את ההחרגות של WD ומקפיד שחרר את המטען שלי בתיקייה שלא נכללה ו/או תן לזה שם קובץ או סיומת שלא נכללה", הסביר הילה.
אם אתה מנהל רשת עבור סביבת Microsoft, עיין בתיעוד של Microsoft עבור מידע על איך לא לכלול את תוכנית Defender מסריקה והפעלה בכל השרתים שלך ובמקומי מכונות.
מה החששות העיקריים שלך לגבי הפרצה שמציגה להאקרים את ההזדמנות לעקוף את Microsoft Defender? שתף אותנו במחשבותיך בקטע התגובות למטה.
