В Microsoft Windows Defender есть ошибка, которая позволяет вредоносным программам проникать незамеченными

Злоумышленник может воспользоваться уязвимостью антивирусной функции Microsoft Defender, чтобы разместить вредоносное ПО в местах, которые Защитник Windows исключает из сканирования.

Проблема существует уже не менее восьми лет, хотя только недавно она была обнаружена и затрагивает Windows 10 21H1 и Windows 10 21H2.

Добавить местоположения

Защитник Майкрософт может исключать определенные области на вашем компьютере из сканирования, чтобы гарантировать, что области, содержащие важную информацию, не будут случайно повреждены антивирусной проверкой.

Существует множество законных программных приложений, которые по разным причинам антивирусные программы ошибочно идентифицируют как вредоносное ПО и, таким образом, помещают в карантин или блокируют доступ к компьютеру.

Если пользователь включает имя пользователя в свой список исключений, это может дать злоумышленнику полезная информация о системе. Это позволяет им хранить вредоносные файлы в тех областях компьютера, которые не проверяются при обычном сканировании.

Исследователи безопасности обнаружили, что программное обеспечение Microsoft Defender исключает список опасных мест из сканирования, но любой локальный пользователь может получить к нему доступ.

Скомпрометированное покрытие

Несмотря на то, что Защитнику Windows разрешено проверять реестр на наличие вредоносных программ и опасных файлов, локальные пользователи могут запрашивать реестр, чтобы определить, какие пути Защитник не может проверять.

Антонио Кокомацци, исследователь угроз, которому приписывают открытие уязвимости RemotePotato0, отмечает, что эта информация не защищена.

Хотя Защитник Microsoft не сканирует все, его команда «reg query» показывает, что программе указано не сканировать, включая файлы, папки, расширения и процессы.

Другой эксперт по безопасности Windows, Натан Макналти, говорит, что проблема присутствует только в Windows 10 версий 21H1 и 21H2, но не затронет Windows 11.

Параметры групповой политики

Другой способ получить настройки групповой политики — получить список исключений из реестра. Эта информация предоставляет подробные сведения о том, что исключается, и является более конфиденциальной, чем просто перечисление активных параметров на конкретном компьютере.

Microsoft рекомендует отключить автоматические исключения в Защитник Майкрософт когда серверная платформа не предназначена для стека Microsoft, говорит Макналти. Если на сервере установлено программное обеспечение стороннего производителя, следует разрешить Защитнику сканировать произвольные расположения.

Несмотря на то, что злоумышленник с локальным доступом может получить список исключений Microsoft Defender, решить эту проблему несложно.

Когда корпоративная сеть уже скомпрометирована, злоумышленники часто ищут способы обойти ее с помощью менее заметных инструментов.

Полное сканирование

Microsoft Defender позволяет исключать определенные папки, чтобы антивирус не сканировал файлы в этих местах. Затем автор вредоносного ПО может сохранять и запускать зараженные файлы из этих папок, не будучи замеченным.

Старший консультант по безопасности говорит, что он впервые заметил проблему около восьми лет назад и сразу понял ее потенциал для злонамеренного использования.

«Всегда говорил себе, что если бы я был каким-то разработчиком вредоносных программ, я бы просто посмотрел исключения WD и обязательно перетащите мою полезную нагрузку в исключенную папку и/или назовите ее так же, как имя или расширение исключенного файла», — пояснил Аура.

Если вы являетесь сетевым администратором среды Microsoft, обратитесь к документации Microsoft за информация о том, как исключить программу Защитник из сканирования и запуска на всех ваших серверах и локальных машины.

Что вас больше всего беспокоит по поводу лазейки, которая дает хакерам возможность обойти Microsoft Defender? Поделитесь с нами своими мыслями в разделе комментариев ниже.