- Microsoftova protivirusna programska oprema Defender ima napako, ki bi lahko hekerjem omogočila izvajanje zlonamerne kode na ranljivih računalnikih z operacijskim sistemom Windows.
- Vsaj osem let je ta težava vplivala na Windows 10 21H1 in Windows 10 21H2; vendar je bil šele pred kratkim odkrit in identificiran.
- Virus hekerjem omogoča shranjevanje zlonamernih programov na neobičajnih delih računalnika, kar jim omogoča, da zaobidejo protivirusne preglede.
Napadalec lahko izkoristi slabost protivirusne funkcije Microsoft Defender, da posadi zlonamerno programsko opremo na lokacijah, ki jih Windows Defender izključi iz skeniranja.
Težava obstaja že vsaj osem let, čeprav je bila odkrita šele pred kratkim in vpliva na Windows 10 21H1 in Windows 10 21H2.
Dodajte lokacije
Microsoft Defender lahko izključi določene lokacije v vašem računalniku iz skeniranja, da zagotovi, da protivirusno skeniranje ne bo nenamerno poškodovalo območij s pomembnimi informacijami.
Obstaja veliko zakonitih programskih aplikacij, ki jih protivirusni programi iz različnih razlogov napačno prepoznajo kot zlonamerno programsko opremo in tako dajo v karanteno ali blokirajo dostop do računalnika.
Če uporabnik vključi uporabniško ime na svoj seznam izjem, lahko to povzroči napadalca koristne informacije o sistemu. Omogoča jim shranjevanje zlonamernih datotek na območjih računalnika, ki se med rutinskim pregledom ne iščejo.
Varnostni raziskovalci so ugotovili, da Microsoftova varnostna programska oprema Defender izključuje seznam nevarnih lokacij iz skeniranja, vendar lahko do njega dostopa vsak lokalni uporabnik.
Ogrožena pokritost
Čeprav lahko Windows Defender preverja, ali je v registru zlonamerna programska oprema in nevarne datoteke, lahko lokalni uporabniki poizvedujejo v registru, da ugotovijo, katere poti Defender ne sme preverjati.
Antonio Cocomazzi, raziskovalec groženj, zaslužen za odkritje ranljivosti RemotePotato0, ugotavlja, da za te informacije ni varnosti.
Čeprav Microsoft Defender ne pregleda vsega, njegov ukaz »reg query« razkrije, česa je programu naročeno, naj ne skenira, vključno z datotekami, mapami, razširitvami in procesi.
Drugi strokovnjak za varnost sistema Windows, Nathan McNulty, pravi, da je težava prisotna samo v različicah Windows 10 21H1 in 21H2, vendar ne bo vplivala na Windows 11.
Nastavitve pravilnika skupine
Drug način za pridobitev nastavitev pravilnika skupine je, da prevzamete seznam izključitev iz registra. Te informacije zagotavljajo podrobnosti o tem, kaj je izključeno, in so bolj občutljive kot preprosto navajanje, katere nastavitve so aktivne v določenem računalniku.
Microsoft priporoča, da onemogočite samodejne izključitve v Microsoft Defender ko strežniška platforma ni namenjena Microsoftovemu skladu, pravi McNulty. Če strežnik izvaja programsko opremo, ki ni Microsoftova, dovolite Defenderju skeniranje poljubnih lokacij.
Čeprav lahko napadalec z lokalnim dostopom pridobi seznam izključitev Microsoft Defender, je to majhen izziv, ki ga je treba premagati.
Ko je korporativno omrežje že ogroženo, napadalci pogosto iščejo načine za premikanje z manj opaznimi orodji.
Celotno skeniranje
Microsoft Defender omogoča izključitev določenih map, da protivirusni program prepreči skeniranje datotek na teh lokacijah. Avtor zlonamerne programske opreme lahko nato shrani in izvede okužene datoteke iz teh map, ne da bi ga opazili.
Višji varnostni svetovalec pravi, da je težavo prvič opazil pred približno osmimi leti in takoj razumel, da je njena možnost zlonamerne uporabe.
»Vedno sem si rekel, da če bi bil nekakšen razvijalec zlonamerne programske opreme, bi samo poiskal izključitve WD in se spusti moj tovor v izključeno mapo in/ali jo poimenuj enako kot ime ali pripono izključene datoteke,« je pojasnil Aura.
Če ste skrbnik omrežja za Microsoftovo okolje, si oglejte svojo Microsoftovo dokumentacijo informacije o tem, kako program Defender izključiti iz skeniranja in izvajanja na vseh vaših strežnikih in lokalnem stroji.
Kaj vas največ skrbi glede vrzeli, ki hekerjem ponuja priložnost, da zaobidejo Microsoft Defender? Delite svoje misli z nami v spodnjem razdelku za komentarje.
