- Software-ul antivirus Defender de la Microsoft are o defecțiune care ar putea permite hackerilor să execute cod rău intenționat pe computerele vulnerabile cu Windows.
- Timp de cel puțin opt ani, această problemă a afectat Windows 10 21H1 și Windows 10 21H2; cu toate acestea, abia de curând a fost descoperit și identificat.
- Virusul permite hackerilor să stocheze programe rău intenționate în zone non-rutine ale computerului, permițându-le să ocolească scanările antivirus.
Un atacator poate profita de o slăbiciune a caracteristicii antivirus Microsoft Defender pentru a instala malware în locații pe care Windows Defender le exclude de la scanare.
Problema există de cel puțin opt ani, deși a fost identificată doar recent și afectează Windows 10 21H1 și Windows 10 21H2.
Adăugați locații
Microsoft Defender poate exclude anumite locații de pe computerul dvs. de la scanare, pentru a vă asigura că zonele care conțin informații importante nu sunt deteriorate accidental de o scanare antivirus.
Există multe aplicații software legitime pe care, din diverse motive, programele antivirus le identifică în mod eronat drept malware și astfel pun în carantină sau blochează accesul la un computer.
Dacă un utilizator include un nume de utilizator în lista sa de excepții, ar putea da un atacator informații utile despre sistem. Le permite să stocheze fișiere rău intenționate în zone ale computerului care nu sunt căutate în timpul unei scanări de rutină.
Cercetătorii de securitate au descoperit că software-ul de securitate Defender de la Microsoft exclude o listă de locații periculoase de la scanare, dar că orice utilizator local o poate accesa.
Acoperire compromisă
Chiar dacă Windows Defender are permisiunea de a verifica dacă există programe malware și fișiere periculoase în registru, utilizatorii locali pot interoga registrul pentru a determina căile nu are voie să verifice Defender.
Antonio Cocomazzi, cercetătorul amenințărilor creditat cu descoperirea vulnerabilității RemotePotato0, observă că nu există securitate pentru aceste informații.
Deși Microsoft Defender nu scanează totul, comanda sa „reg query” dezvăluie ceea ce programul este instruit să nu scaneze, inclusiv fișiere, foldere, extensii și procese.
Un alt expert în securitate Windows, Nathan McNulty, spune că problema este prezentă numai pe Windows 10 versiunile 21H1 și 21H2, dar nu va afecta Windows 11.
Setările politicii de grup
O altă modalitate de a obține setările politicii de grup este să luați lista de excluderi din registru. Aceste informații oferă detalii despre ceea ce este exclus și sunt mai sensibile decât simpla enumerare a setărilor active pe un anumit computer.
Microsoft vă recomandă să dezactivați excluderile automate în Microsoft Defender când platforma serverului nu este dedicată stivei Microsoft, spune McNulty. Dacă un server rulează software non-Microsoft, ar trebui să permiteți Defender să scaneze locații arbitrare.
Chiar dacă lista de excluderi Microsoft Defender poate fi obținută de un atacator cu acces local, aceasta este o mică provocare de depășit.
Când o rețea corporativă este deja compromisă, atacatorii caută adesea modalități de a se deplasa folosind instrumente mai puțin vizibile.
Scanare completă
Microsoft Defender permite excluderea anumitor foldere pentru a împiedica antivirusul să scaneze fișierele din acele locații. Autorul de malware poate stoca și executa fișiere infectate din acele foldere fără a fi detectat.
Un consultant senior de securitate spune că a observat prima dată problema în urmă cu aproximativ opt ani și a înțeles imediat potențialul acesteia de utilizare rău intenționată.
„Întotdeauna mi-am spus că, dacă aș fi un dezvoltator de programe malware, aș căuta doar excluderile WD și aș asigura că aruncați sarcina mea utilă într-un folder exclus și/sau denumește-o la fel ca un nume de fișier sau extensie exclusă”, a explicat Aură.
Dacă sunteți administrator de rețea pentru un mediu Microsoft, consultați documentația Microsoft pentru informații despre cum să excludeți programul Defender de la scanare și rulare pe toate serverele dvs. și locale masini.
Care sunt preocupările dumneavoastră majore cu privire la lacuna care oferă hackerilor posibilitatea de a ocoli Microsoft Defender? Împărtășește-ți gândurile cu noi în secțiunea de comentarii de mai jos.
