Microsoft Windows Defender har en feil som lar skadelig programvare slippe gjennom uoppdaget

En angriper kan dra nytte av en svakhet i Microsoft Defender-antivirusfunksjonen til å plante skadelig programvare på steder som Windows Defender ekskluderer fra skanning.

Problemet har eksistert i minst åtte år, men først nylig ble det identifisert og påvirker Windows 10 21H1 og Windows 10 21H2.

Legg til steder

Microsoft Defender kan ekskludere bestemte steder på datamaskinen din fra skanning, for å sikre at områder som inneholder viktig informasjon ikke utilsiktet skades av en antivirusskanning.

Det er mange legitime programmer som, av ulike årsaker, antivirusprogrammer feilaktig identifiserer som skadelig programvare og dermed setter i karantene eller blokkerer tilgangen til en datamaskin.

Hvis en bruker inkluderer et brukernavn i listen over unntak, kan det gi en angriper nyttig informasjon om systemet. Den lar dem lagre ondsinnede filer i områder av datamaskinen som ikke blir søkt under en rutineskanning.

Sikkerhetsforskere fant at Microsofts Defender-sikkerhetsprogramvare ekskluderer en liste over farlige steder fra skanning, men at enhver lokal bruker kan få tilgang til den.

Kompromittert dekning

Selv om Windows Defender har lov til å se etter skadelig programvare og farlige filer i registret, kan lokale brukere spørre registret for å finne ut hvilke stier Defender ikke har lov til å sjekke.

Antonio Cocomazzi, trusselforskeren kreditert med oppdagelsen av RemotePotato0-sårbarheten, bemerker at det ikke er noen sikkerhet for denne informasjonen.

Selv om Microsoft Defender ikke skanner alt, avslører kommandoen "reg query" hva programmet blir bedt om å ikke skanne, inkludert filer, mapper, utvidelser og prosesser.

En annen Windows-sikkerhetsekspert, Nathan McNulty, sier at problemet bare er tilstede på Windows 10 versjoner 21H1 og 21H2, men det vil ikke påvirke Windows 11.

Innstillinger for gruppepolicy

En annen måte å få gruppepolicyinnstillinger på er å hente listen over ekskluderinger fra registeret. Denne informasjonen gir detaljer om hva som ekskluderes og er mer sensitiv enn bare å liste hvilke innstillinger som er aktive på en bestemt datamaskin.

Microsoft anbefaler at du deaktiverer automatiske ekskluderinger i Microsoft Defender når serverplattformen ikke er dedikert til Microsoft-stakken, sier McNulty. Hvis en server kjører ikke-Microsoft-programvare, bør du la Defender skanne vilkårlige plasseringer.

Selv om Microsoft Defender-ekskluderingslisten kan fås av en angriper med lokal tilgang, er dette en liten utfordring å overvinne.

Når et bedriftsnettverk allerede er kompromittert, er angripere ofte på utkikk etter måter å bevege seg rundt ved å bruke mindre merkbare verktøy.

Full skanning

Microsoft Defender tillater ekskludering av visse mapper for å forhindre at antivirusprogrammet skanner filer på disse stedene. Skadevareforfatteren kan deretter lagre og kjøre infiserte filer fra disse mappene uten å bli oppdaget.

En senior sikkerhetskonsulent sier at han først la merke til problemet for rundt åtte år siden, og umiddelbart forsto potensialet for ondsinnet bruk.

"Fortalte alltid til meg selv at hvis jeg var en slags skadevareutvikler, ville jeg bare slå opp WD-ekskluderingene og sørge for å slipp nyttelasten min i en ekskludert mappe og/eller navngi den på samme måte som et ekskludert filnavn eller utvidelse," forklarte Aura.

Hvis du er nettverksadministrator for et Microsoft-miljø, se Microsoft-dokumentasjonen for informasjon om hvordan du ekskluderer Defender-programmet fra å skanne og kjøre på alle serverne dine og lokale maskiner.

Hva er dine største bekymringer om smutthullet som gir hackere muligheten til å omgå Microsoft Defender? Del dine tanker med oss ​​i kommentarfeltet nedenfor.