Windows 10：MicrosoftDefenderの除外リストは攻撃者が読み取ることができます

セキュリティ研究者は、攻撃者がWindowsマシンのマルウェア対策保護を回避できる可能性のあるMicrosoftのウイルス対策ソフトウェアの脆弱性を発見しました。

MicrosoftのWindows10オペレーティングシステムの最新バージョンの問題に関するBleepingComputerからのレポートによると、この問題はバージョン21H1および21H2を実行しているデバイスに特に影響を及ぼします。

Microsoft Defender

MicrosoftDefenderは無料です マルウェア対策プログラム ファイルとプロセスをスキャンして脅威を検出し、ウイルス、マルウェア、ランサムウェア、およびその他のセキュリティの脅威からWindowsPCを保護できます。

Windows Defenderセキュリティセンターアドインでは、除外機能を使用して、特定のファイル、ファイルタイプ、フォルダー、プロセス、場所、または実行可能ファイルがスキャンされないようにすることもできます。

この機能は、悪意のあるソフトウェアが正当なアプリケーションとして誤って分類される特定の状況で役立ちます。

さまざまなWindows10コンポーネントを保護する除外リストはユーザーによって異なり、攻撃者が場所を追跡して悪意のあるファイルをデバイスに保存できるようにします。

SentinelOneの脅威インテリジェンス研究者であるAntonioCocomazzi氏は、Microsoft Defenderを使用すると、ローカルユーザーはレジストリクエリを介して除外リストに保存されている機密データを読み取ることができると述べています。 これは事実上正確であり、非公式のスピーチを使用しません。

Windows Defender AVツールを使用すると、ユーザーはシステム上のファイルシステムとレジストリの除外を読み取ることができます。

MicrosoftDefenderのセキュリティ上の欠陥 

さらに、サイバーセキュリティアーキテクトのNathan McNultyは、攻撃者がレジストリツリーを悪用して、複数のシステムの除外リストにアクセスする可能性があると指摘しました。

「サーバーでDefenderAVを構成している場合は、特定の役割または機能がインストールされたときに有効になる自動除外があることに注意してください」とMcNultyはTwitterで示しています。

ただし、リストにないアプリケーションのカスタムインストール場所を作成することはできます。

セキュリティアップデート

マイクロソフトは本日、マルウェアによって悪用される可能性のある脆弱性を排除するセキュリティアップデートのリリースを発表しました。 この脆弱性は、8年前にセキュリティ研究者によって最初に報告されました。

Microsoftはまだこの問題に対処しておらず、Windowsオペレーティングシステムのユーザーがいつソリューションを利用できるかについての情報はありません。

管理者は設定することをお勧めします Microsoft Defender Windows10とWindowsServerの両方のマシンでグループポリシーを使用した除外。

以前にMicrosoftDefenderのセキュリティ上の欠陥の影響を受けたことはありますか？ 以下のコメントセクションで私たちとあなたの考えを共有してください。