Microsoft Windows Defender tem um bug que permite que malware passe sem ser detectado

Um invasor pode aproveitar uma fraqueza no recurso antivírus do Microsoft Defender para plantar malware em locais que o Windows Defender exclui da verificação.

O problema existe há pelo menos oito anos, embora só recentemente tenha sido identificado e afete o Windows 10 21H1 e o Windows 10 21H2.

Adicionar locais

O Microsoft Defender pode excluir locais específicos do seu computador da verificação, para garantir que as áreas que contêm informações importantes não sejam danificadas inadvertidamente por uma verificação antivírus.

Existem muitos aplicativos de software legítimos que, por vários motivos, os programas antivírus identificam erroneamente como malware e, portanto, colocam em quarentena ou bloqueiam o acesso a um computador.

Se um usuário incluir um nome de usuário em sua lista de exceções, isso poderá fornecer a um invasor informações úteis sobre o sistema. Ele permite que eles armazenem arquivos maliciosos em áreas do computador que não são pesquisadas durante uma verificação de rotina.

Pesquisadores de segurança descobriram que o software de segurança Defender da Microsoft exclui uma lista de locais perigosos da verificação, mas que qualquer usuário local pode acessá-la.

Cobertura comprometida

Embora o Windows Defender tenha permissão para verificar malware e arquivos perigosos no registro, os usuários locais podem consultar o registro para determinar quais caminhos o Defender não tem permissão para verificar.

Antonio Cocomazzi, o pesquisador de ameaças creditado com a descoberta da vulnerabilidade RemotePotato0, observa que não há segurança para essas informações.

Embora o Microsoft Defender não verifique tudo, seu comando “reg query” revela o que o programa é instruído a não verificar, incluindo arquivos, pastas, extensões e processos.

Outro especialista em segurança do Windows, Nathan McNulty, diz que o problema está presente apenas nas versões 21H1 e 21H2 do Windows 10, mas não afetará o Windows 11.

Configurações de política de grupo

Outra maneira de obter as configurações da Diretiva de Grupo é obter a lista de exclusões do registro. Essas informações fornecem detalhes sobre o que está sendo excluído e são mais confidenciais do que simplesmente listar quais configurações estão ativas em um determinado computador.

A Microsoft recomenda que você desabilite as exclusões automáticas em Microsoft Defender quando a plataforma do servidor não é dedicada à pilha da Microsoft, diz McNulty. Se um servidor estiver executando software que não seja da Microsoft, você deve permitir que o Defender verifique locais arbitrários.

Embora a lista de exclusões do Microsoft Defender possa ser obtida por um invasor com acesso local, esse é um pequeno desafio a ser superado.

Quando uma rede corporativa já está comprometida, os invasores geralmente procuram maneiras de se movimentar usando ferramentas menos visíveis.

Verificação completa

O Microsoft Defender permite a exclusão de determinadas pastas para impedir que o antivírus verifique arquivos nesses locais. O autor do malware pode armazenar e executar arquivos infectados dessas pastas sem ser detectado.

Um consultor sênior de segurança diz que notou o problema pela primeira vez há cerca de oito anos e imediatamente entendeu seu potencial para uso malicioso.

“Sempre disse a mim mesmo que, se eu fosse algum tipo de desenvolvedor de malware, apenas procuraria as exclusões do WD e me certificaria de solte minha carga em uma pasta excluída e/ou nomeie-a da mesma forma que um nome de arquivo ou extensão excluído”, explicou Aura.

Se você for um administrador de rede para um ambiente Microsoft, consulte a documentação da Microsoft para informações sobre como excluir o programa Defender da verificação e execução em todos os seus servidores e máquinas.

Quais são suas principais preocupações sobre a brecha que apresenta aos hackers a oportunidade de contornar o Microsoft Defender? Compartilhe seus pensamentos conosco na seção de comentários abaixo.