- „Microsoft“ antivirusinė programinė įranga „Defender“ turi trūkumą, dėl kurios įsilaužėliai gali vykdyti kenkėjišką kodą pažeidžiamuose „Windows“ kompiuteriuose.
- Mažiausiai aštuonerius metus ši problema paveikė Windows 10 21H1 ir Windows 10 21H2; tačiau tik neseniai jis buvo atrastas ir identifikuotas.
- Virusas leidžia įsilaužėliams saugoti kenkėjiškas programas neįprastose kompiuterio vietose, todėl jie gali apeiti antivirusinius nuskaitymus.
Užpuolikas gali pasinaudoti „Microsoft Defender“ antivirusinės funkcijos silpnumu, kad pasodintų kenkėjiškas programas tose vietose, kurių „Windows Defender“ neįtraukia nuo nuskaitymo.
Problema egzistuoja mažiausiai aštuonerius metus, nors tik neseniai ji buvo nustatyta ir paveikia Windows 10 21H1 ir Windows 10 21H2.
Pridėti vietas
„Microsoft Defender“ gali pašalinti konkrečias jūsų kompiuterio vietas nuo nuskaitymo, kad įsitikintų, jog sritys, kuriose yra svarbios informacijos, nebūtų netyčia pažeistos antivirusinės programos nuskaitymo.
Yra daug teisėtų programinės įrangos programų, kurias dėl įvairių priežasčių antivirusinės programos klaidingai identifikuoja kaip kenkėjiškas programas ir taip karantinuoja arba blokuoja prieigą prie kompiuterio.
Jei vartotojas į savo išimčių sąrašą įtrauks vartotojo vardą, tai gali suteikti užpuolikui naudingos informacijos apie sistemą. Tai leidžia jiems saugoti kenkėjiškus failus tose kompiuterio srityse, kurių neieškoma atliekant įprastą nuskaitymą.
Saugumo tyrinėtojai išsiaiškino, kad „Microsoft“ saugos programinė įranga „Defender“ neįtraukia pavojingų vietų sąrašo nuskaitymui, tačiau bet kuris vietinis vartotojas gali jį pasiekti.
Pažeista aprėptis
Nors „Windows Defender“ leidžiama tikrinti, ar registre nėra kenkėjiškų programų ir pavojingų failų, vietiniai vartotojai gali pateikti registro užklausą, kad nustatytų, kurių kelių „Defender“ tikrinti neleidžiama.
Antonio Cocomazzi, grėsmių tyrinėtojas, atsakingas už RemotePotato0 pažeidžiamumo atradimą, pažymi, kad ši informacija nėra saugi.
Nors „Microsoft Defender“ nenuskaito visko, jos komanda „reg query“ atskleidžia, ko programai nurodyta nenuskaityti, įskaitant failus, aplankus, plėtinius ir procesus.
Kitas „Windows“ saugos ekspertas Nathanas McNulty teigia, kad problema egzistuoja tik „Windows 10“ versijose 21H1 ir 21H2, tačiau ji neturės įtakos „Windows 11“.
Grupės politikos nustatymai
Kitas būdas gauti grupės strategijos parametrus yra patraukti registro išimčių sąrašą. Šioje informacijoje pateikiama išsami informacija apie tai, kas neįtraukiama, ir ji yra jautresnė nei tiesiog sąrašas, kurie nustatymai yra aktyvūs konkrečiame kompiuteryje.
„Microsoft“ rekomenduoja išjungti automatinius išskyrimus Microsoft Defender kai serverio platforma nėra skirta „Microsoft“ kaminui, sako McNulty. Jei serveryje veikia ne „Microsoft“ programinė įranga, turėtumėte leisti „Defender“ nuskaityti bet kokias vietas.
Nors „Microsoft Defender“ išskyrimų sąrašą gali gauti užpuolikas, turintis vietinę prieigą, tai yra nedidelis iššūkis, kurį reikia įveikti.
Kai įmonės tinklas jau pažeistas, užpuolikai dažnai ieško būdų, kaip judėti naudojant mažiau pastebimus įrankius.
Pilnas skenavimas
„Microsoft Defender“ leidžia išskirti tam tikrus aplankus, kad antivirusinė programa negalėtų nuskaityti failų tose vietose. Kenkėjiškos programos autorius gali saugoti ir vykdyti užkrėstus failus iš tų aplankų nepastebėtas.
Vyresnysis saugos konsultantas teigia, kad pirmą kartą šią problemą pastebėjo maždaug prieš aštuonerius metus ir iškart suprato, kad ji gali būti piktybiškai naudojama.
„Visada sakydavau sau, kad jei esu kenkėjiškų programų kūrėjas, tiesiog ieškosiu WD išimčių ir įsitikinsiu, kad įmeskite mano naudingąjį apkrovą į neįtrauktą aplanką ir (arba) pavadinkite jį taip pat, kaip neįtrauktą failo pavadinimą ar plėtinį“, – paaiškino Aura.
Jei esate „Microsoft“ aplinkos tinklo administratorius, ieškokite „Microsoft“ dokumentacijos informaciją apie tai, kaip neleisti Defender programai nuskaityti ir veikti visuose serveriuose ir vietiniuose mašinos.
Kokius didžiausius susirūpinimą kelia spraga, suteikianti įsilaužėliams galimybę apeiti „Microsoft Defender“? Pasidalykite savo mintimis su mumis toliau pateiktame komentarų skyriuje.
