- De antivirussoftware van Microsoft Defender heeft een fout waardoor hackers kwaadaardige code kunnen uitvoeren op kwetsbare Windows-pc's.
- Dit probleem heeft zich al minstens acht jaar voorgedaan in Windows 10 21H1 en Windows 10 21H2; het was echter pas onlangs dat het werd ontdekt en geïdentificeerd.
- Het virus stelt hackers in staat om kwaadaardige programma's op te slaan in niet-routinematige delen van de computer, waardoor ze antivirusscans kunnen omzeilen.
Een aanvaller kan misbruik maken van een zwak punt in de antivirusfunctie van Microsoft Defender om malware te installeren op locaties die Windows Defender uitsluit van scannen.
Het probleem bestaat al minstens acht jaar, hoewel het pas onlangs werd geïdentificeerd en van invloed is op Windows 10 21H1 en Windows 10 21H2.
Locaties toevoegen
Microsoft Defender kan specifieke locaties op uw computer uitsluiten van scannen, om ervoor te zorgen dat gebieden met belangrijke informatie niet per ongeluk worden beschadigd door een antivirusscan.
Er zijn veel legitieme softwaretoepassingen die, om verschillende redenen, antivirusprogramma's ten onrechte als malware identificeren en dus de toegang tot een computer in quarantaine plaatsen of blokkeren.
Als een gebruiker een gebruikersnaam opneemt in zijn lijst met uitzonderingen, kan dit een aanvaller de nuttige informatie over het systeem. Hiermee kunnen ze schadelijke bestanden opslaan in delen van de computer die niet worden doorzocht tijdens een routinescan.
Beveiligingsonderzoekers ontdekten dat Microsoft's Defender-beveiligingssoftware een lijst met gevaarlijke locaties uitsluit van scannen, maar dat elke lokale gebruiker er toegang toe heeft.
Gecompromitteerde dekking
Hoewel Windows Defender mag controleren op malware en gevaarlijke bestanden in het register, kunnen lokale gebruikers het register doorzoeken om te bepalen welke paden Defender niet mag controleren.
Antonio Cocomazzi, de dreigingsonderzoeker aan wie de ontdekking van de RemotePotato0-kwetsbaarheid wordt toegeschreven, merkt op dat er geen beveiliging is voor deze informatie.
Hoewel Microsoft Defender niet alles scant, onthult de opdracht "reg query" wat het programma niet mag scannen, inclusief bestanden, mappen, extensies en processen.
Een andere Windows-beveiligingsexpert, Nathan McNulty, zegt dat het probleem alleen aanwezig is in Windows 10 versies 21H1 en 21H2, maar dat het geen invloed heeft op Windows 11.
Instellingen voor groepsbeleid
Een andere manier om instellingen voor Groepsbeleid op te halen, is door de lijst met uitsluitingen uit het register te halen. Deze informatie geeft details over wat er wordt uitgesloten en is gevoeliger dan alleen maar te vermelden welke instellingen actief zijn op een bepaalde computer.
Microsoft raadt u aan automatische uitsluitingen uit te schakelen in: Microsoft Defender wanneer het serverplatform niet is toegewezen aan de Microsoft-stack, zegt McNulty. Als een server niet-Microsoft-software draait, moet u Defender toestaan willekeurige locaties te scannen.
Hoewel de Microsoft Defender-uitsluitingenlijst kan worden verkregen door een aanvaller met lokale toegang, is dit een kleine uitdaging om te overwinnen.
Wanneer een bedrijfsnetwerk al is aangetast, zoeken aanvallers vaak naar manieren om zich te verplaatsen met behulp van minder opvallende tools.
Volledige scan
Microsoft Defender staat het uitsluiten van bepaalde mappen toe om te voorkomen dat de antivirus de bestanden op die locaties scant. De malware-auteur kan vervolgens geïnfecteerde bestanden uit die mappen opslaan en uitvoeren zonder opgemerkt te worden.
Een senior beveiligingsconsulent zegt dat hij het probleem ongeveer acht jaar geleden voor het eerst opmerkte en onmiddellijk begreep wat het potentieel voor kwaadwillig gebruik was.
"Ik heb mezelf altijd voorgehouden dat als ik een soort malware-ontwikkelaar was, ik gewoon de WD-uitsluitingen zou opzoeken en ervoor zou zorgen dat laat mijn payload in een uitgesloten map vallen en/of noem het dezelfde naam als een uitgesloten bestandsnaam of extensie,” verklaarde Aura.
Als u een netwerkbeheerder bent voor een Microsoft-omgeving, raadpleeg dan uw Microsoft-documentatie voor: informatie over hoe u het Defender-programma kunt uitsluiten van scannen en uitvoeren op al uw servers en lokaal machines.
Wat zijn uw grootste zorgen over de maas in de wet die hackers de mogelijkheid biedt om Microsoft Defender te omzeilen? Deel uw mening met ons in de commentaarsectie hieronder.
