Programmā Microsoft Windows Defender ir kļūda, kas ļauj ļaunprātīgai programmatūrai izslīdēt nepamanītai

Uzbrucējs var izmantot Microsoft Defender pretvīrusu līdzekļa nepilnības, lai ievietotu ļaunprātīgu programmatūru vietās, kuras Windows Defender izslēdz no skenēšanas.

Problēma pastāv jau vismaz astoņus gadus, lai gan tikai nesen tā tika atklāta un ietekmē operētājsistēmu Windows 10 21H1 un Windows 10 21H2.

Pievienojiet atrašanās vietas

Microsoft Defender var izslēgt noteiktas atrašanās vietas jūsu datorā no skenēšanas, lai nodrošinātu, ka apgabali, kuros ir svarīga informācija, netīšām netiek bojāti pretvīrusu skenēšanas rezultātā.

Ir daudzas likumīgas programmatūras lietojumprogrammas, kuras dažādu iemeslu dēļ pretvīrusu programmas kļūdaini identificē kā ļaunprātīgu programmatūru un tādējādi ievieto karantīnu vai bloķē piekļuvi datoram.

Ja lietotājs savā izņēmumu sarakstā iekļauj lietotājvārdu, tas var radīt uzbrucēju noderīga informācija par sistēmu. Tas ļauj tiem saglabāt ļaunprātīgus failus datora apgabalos, kas netiek meklēti ikdienas skenēšanas laikā.

Drošības pētnieki atklāja, ka Microsoft Defender drošības programmatūra izslēdz bīstamo vietu sarakstu no skenēšanas, bet jebkurš vietējais lietotājs var tai piekļūt.

Kompromitēts pārklājums

Pat ja Windows Defender ir atļauts pārbaudīt, vai reģistrā nav ļaunprātīgas programmatūras un bīstamu failu, vietējie lietotāji var veikt vaicājumu reģistrā, lai noteiktu, kurus ceļus Defender nav atļauts pārbaudīt.

Antonio Kokocazi, draudu pētnieks, kurš tika atzīts par RemotePotato0 ievainojamības atklāšanu, atzīmē, ka šai informācijai nav drošības.

Lai gan Microsoft Defender neskenē visu, tās komanda “reg query” atklāj, ko programmai ir uzdots neskenēt, tostarp failus, mapes, paplašinājumus un procesus.

Cits Windows drošības eksperts Nathan McNulty saka, ka problēma pastāv tikai Windows 10 versijās 21H1 un 21H2, taču tā neietekmēs Windows 11.

Grupas politikas iestatījumi

Vēl viens veids, kā iegūt grupas politikas iestatījumus, ir reģistra izslēgšanas saraksta iegūšana. Šī informācija sniedz detalizētu informāciju par to, kas tiek izslēgts, un ir sensitīvāka, nekā vienkārši norādīt, kuri iestatījumi ir aktīvi konkrētā datorā.

Microsoft iesaka atspējot automātisko izslēgšanu Microsoft Defender kad servera platforma nav paredzēta Microsoft stekam, saka Maknultijs. Ja serverī darbojas programmatūra, kas nav Microsoft programmatūra, jums ir jāļauj Defender skenēt patvaļīgas atrašanās vietas.

Pat ja Microsoft Defender izņēmumu sarakstu var iegūt uzbrucējs ar lokālu piekļuvi, tas ir neliels izaicinājums, kas jāpārvar.

Kad korporatīvais tīkls jau ir apdraudēts, uzbrucēji bieži meklē veidus, kā pārvietoties, izmantojot mazāk pamanāmus rīkus.

Pilnā skenēšana

Microsoft Defender ļauj izslēgt noteiktas mapes, lai neļautu antivīrusam skenēt failus šajās vietās. Ļaunprātīgas programmatūras autors pēc tam var saglabāt un izpildīt inficētos failus no šīm mapēm, nepamanot.

Vecākais drošības konsultants stāsta, ka pirmo reizi šo problēmu pamanījis apmēram pirms astoņiem gadiem un uzreiz sapratis tās ļaunprātīgas izmantošanas iespējas.

"Vienmēr esmu teicis sev, ka, ja es būtu sava veida ļaunprātīgas programmatūras izstrādātājs, es vienkārši meklētu WD izņēmumus un noteikti nometiet manu lietderīgo slodzi izslēgtā mapē un/vai nosauciet to tāpat kā izslēgtā faila nosaukumu vai paplašinājumu," paskaidroja Aura.

Ja esat Microsoft vides tīkla administrators, skatiet savu Microsoft dokumentāciju informācija par to, kā izslēgt programmu Defender no skenēšanas un darbības visos jūsu serveros un lokālajos mašīnas.

Kādas ir jūsu galvenās bažas par nepilnību, kas sniedz hakeriem iespēju apiet Microsoft Defender? Kopīgojiet savas domas ar mums komentāru sadaļā zemāk.