Microsoft Windows Defenderには、マルウェアが検出されずにすり抜けてしまうバグがあります

攻撃者は、Microsoft Defenderウイルス対策機能の弱点を利用して、WindowsDefenderがスキャンから除外する場所にマルウェアを仕掛けることができます。

この問題は少なくとも8年間存在していましたが、最近になって特定され、Windows 1021H1とWindows1021H2に影響を及ぼしています。

場所を追加

Microsoft Defenderは、コンピューター上の特定の場所をスキャンから除外して、重要な情報を含む領域がウイルス対策スキャンによって不注意に損傷しないようにすることができます。

さまざまな理由で、ウイルス対策プログラムがマルウェアとして誤って識別し、コンピュータへのアクセスを隔離またはブロックする、多くの正当なソフトウェアアプリケーションがあります。

ユーザーが例外のリストにユーザー名を含めると、攻撃者に提供される可能性があります システムに関する有用な情報. これにより、通常のスキャンでは検索されないコンピューターの領域に悪意のあるファイルを保存できます。

セキュリティ研究者は、MicrosoftのDefenderセキュリティソフトウェアが危険な場所のリストをスキャンから除外しているが、ローカルユーザーなら誰でもそれにアクセスできることを発見しました。

妥協したカバレッジ

Windows Defenderはレジストリ内のマルウェアや危険なファイルをチェックできますが、ローカルユーザーはレジストリにクエリを実行して、Defenderがチェックできないパスを特定できます。

RemotePotato0の脆弱性の発見を認められた脅威研究者、Antonio Cocomazziは、この情報にはセキュリティがないと述べています。

Microsoft Defenderはすべてをスキャンするわけではありませんが、その「reg query」コマンドは、ファイル、フォルダー、拡張機能、プロセスなど、プログラムがスキャンしないように指示されている内容を明らかにします。

別のWindowsセキュリティの専門家であるNathanMcNultyは、この問題はWindows 10バージョン21H1および21H2にのみ存在しますが、Windows11には影響しないと述べています。

グループポリシー設定

グループポリシー設定を取得する別の方法は、レジストリから除外のリストを取得することです。 この情報は、除外されているものに関する詳細を提供し、特定のコンピューターでアクティブな設定を単にリストするよりも機密性が高くなります。

で自動除外を無効にすることをお勧めします Microsoft Defender サーバープラットフォームがMicrosoftスタック専用ではない場合、McNulty氏は言います。 サーバーがMicrosoft以外のソフトウェアを実行している場合は、Defenderが任意の場所をスキャンできるようにする必要があります。

Microsoft Defenderの除外リストは、ローカルアクセス権を持つ攻撃者によって取得される可能性がありますが、これは克服すべき小さな課題です。

企業ネットワークがすでに侵害されている場合、攻撃者は目立たないツールを使用して移動する方法を探していることがよくあります。

フルスキャン

Microsoft Defenderでは、特定のフォルダーを除外して、アンチウイルスがそれらの場所のファイルをスキャンしないようにすることができます。 マルウェアの作成者は、発見されることなく、これらのフォルダから感染したファイルを保存して実行できます。

上級セキュリティコンサルタントは、約8年前にこの問題に最初に気づき、悪意のある使用の可能性をすぐに理解したと述べています。

「私が何らかのマルウェア開発者である場合は、WDの除外を調べて、次のことを確認するだけだと常に自分に言い聞かせました。 ペイロードを除外されたフォルダにドロップするか、除外されたファイル名または拡張子と同じ名前を付けます」と説明しました。 オーラ。

Microsoft環境のネットワーク管理者の場合は、Microsoftのドキュメントを参照してください。 すべてのサーバーとローカルでのスキャンと実行からDefenderプログラムを除外する方法に関する情報 マシン。

ハッカーにMicrosoftDefenderを回避する機会を与える抜け穴についてのあなたの主な懸念は何ですか？ 以下のコメントセクションで私たちとあなたの考えを共有してください。