- Oprogramowanie antywirusowe Defender firmy Microsoft ma lukę, która może pozwolić hakerom na wykonanie złośliwego kodu na podatnych na ataki komputerach z systemem Windows.
- Od co najmniej ośmiu lat ten problem dotyczy systemów Windows 10 21H1 i Windows 10 21H2; jednak dopiero niedawno został odkryty i zidentyfikowany.
- Wirus umożliwia hakerom przechowywanie szkodliwych programów w nierutynowych obszarach komputera, pozwalając im na ominięcie skanowania antywirusowego.
Osoba atakująca może wykorzystać słabość funkcji antywirusowej programu Microsoft Defender, aby umieścić złośliwe oprogramowanie w lokalizacjach, które program Windows Defender wyklucza ze skanowania.
Problem istnieje od co najmniej ośmiu lat, ale dopiero niedawno został zidentyfikowany i dotyczy Windows 10 21H1 i Windows 10 21H2.
Dodaj lokalizacje
Program Microsoft Defender może wykluczyć ze skanowania określone lokalizacje na komputerze, aby upewnić się, że obszary zawierające ważne informacje nie zostaną przypadkowo uszkodzone przez skanowanie antywirusowe.
Istnieje wiele legalnych aplikacji, które z różnych powodów programy antywirusowe błędnie identyfikują jako złośliwe oprogramowanie i w ten sposób poddają kwarantannie lub blokują dostęp do komputera.
Jeśli użytkownik umieści nazwę użytkownika na swojej liście wyjątków, może to dać intruzowi przydatne informacje o systemie. Pozwala im przechowywać złośliwe pliki w obszarach komputera, które nie są przeszukiwane podczas rutynowego skanowania.
Badacze bezpieczeństwa odkryli, że oprogramowanie zabezpieczające Defender firmy Microsoft wyklucza listę niebezpiecznych lokalizacji ze skanowania, ale każdy lokalny użytkownik może uzyskać do niej dostęp.
Naruszony zasięg
Mimo że program Windows Defender może sprawdzać w rejestrze pod kątem złośliwego oprogramowania i niebezpiecznych plików, lokalni użytkownicy mogą wysyłać zapytania do rejestru, aby określić, które ścieżki Defender nie mogą sprawdzać.
Antonio Cocomazzi, badacz zagrożeń, któremu przypisuje się odkrycie luki RemotePotato0, zauważa, że te informacje nie są zabezpieczone.
Chociaż program Microsoft Defender nie skanuje wszystkiego, jego polecenie „reg query” pokazuje, czego programowi nie wolno skanować, w tym pliki, foldery, rozszerzenia i procesy.
Inny ekspert ds. bezpieczeństwa systemu Windows, Nathan McNulty, twierdzi, że problem występuje tylko w systemie Windows 10 w wersjach 21H1 i 21H2, ale nie ma wpływu na system Windows 11.
Ustawienia zasad grupy
Innym sposobem uzyskania ustawień zasad grupy jest pobranie listy wykluczeń z rejestru. Te informacje zawierają szczegółowe informacje o tym, co jest wykluczane, i są bardziej wrażliwe niż zwykła lista ustawień aktywnych na określonym komputerze.
Microsoft zaleca wyłączenie automatycznych wykluczeń w Microsoft Defender gdy platforma serwerowa nie jest dedykowana dla stosu Microsoftu, mówi McNulty. Jeśli na serwerze działa oprogramowanie firmy innej niż Microsoft, należy zezwolić usłudze Defender na skanowanie dowolnych lokalizacji.
Mimo że listę wykluczeń usługi Microsoft Defender może uzyskać osoba atakująca z dostępem lokalnym, jest to niewielkie wyzwanie do pokonania.
Gdy sieć firmowa jest już zagrożona, osoby atakujące często szukają sposobów poruszania się przy użyciu mniej zauważalnych narzędzi.
Pełne skanowanie
Program Microsoft Defender umożliwia wykluczenie niektórych folderów, aby program antywirusowy nie skanował plików w tych lokalizacjach. Autor złośliwego oprogramowania może następnie przechowywać i uruchamiać zainfekowane pliki z tych folderów bez wykrycia.
Starszy konsultant ds. bezpieczeństwa twierdzi, że po raz pierwszy zauważył problem około osiem lat temu i od razu zrozumiał jego potencjalne złośliwe wykorzystanie.
„Zawsze mówiłem sobie, że gdybym był jakimś twórcą złośliwego oprogramowania, po prostu wyszukałbym wykluczenia WD i upewnił się, że upuść mój ładunek w wykluczonym folderze i/lub nazwij go tak samo, jak nazwa lub rozszerzenie wykluczonego pliku”, wyjaśniono Aura.
Jeśli jesteś administratorem sieci w środowisku Microsoft, zapoznaj się z dokumentacją firmy Microsoft, aby uzyskać: informacje o tym, jak wykluczyć program Defender ze skanowania i uruchamiania na wszystkich serwerach i lokalnie maszyny.
Jakie są Twoje główne obawy dotyczące luki, która daje hakerom możliwość ominięcia programu Microsoft Defender? Podziel się z nami swoimi przemyśleniami w sekcji komentarzy poniżej.
