- Мицрософтов антивирусни софтвер Дефендер има ману која би могла дозволити хакерима да изврше злонамерни код на рањивим Виндовс рачунарима.
- Најмање осам година, овај проблем је утицао на Виндовс 10 21Х1 и Виндовс 10 21Х2; међутим, тек недавно је откривен и идентификован.
- Вирус дозвољава хакерима да чувају злонамерне програме у нерутинским деловима рачунара, омогућавајући им да заобиђу антивирусно скенирање.
Нападач може да искористи слабост у антивирусној функцији Мицрософт Дефендер да би поставио малвер на локације које Виндовс Дефендер искључује из скенирања.
Проблем постоји најмање осам година, иако је тек недавно откривен и утиче на Виндовс 10 21Х1 и Виндовс 10 21Х2.
Додајте локације
Мицрософт Дефендер може искључити одређене локације на вашем рачунару из скенирања, како би се уверио да области које садрже важне информације не буду случајно оштећене антивирусним скенирањем.
Постоји много легитимних софтверских апликација које, из различитих разлога, антивирусни програми погрешно идентификују као малвер и на тај начин стављају у карантин или блокирају приступ рачунару.
Ако корисник укључи корисничко име на своју листу изузетака, то може дати нападачу корисне информације о систему. Омогућава им да чувају злонамерне датотеке у областима рачунара које се не претражују током рутинског скенирања.
Истраживачи безбедности су открили да безбедносни софтвер Мицрософт Дефендер искључује листу опасних локација из скенирања, али да сваки локални корисник може да јој приступи.
Компромитована покривеност
Иако је Виндовс Дефендер-у дозвољено да проверава да ли у регистратору има малвера и опасних датотека, локални корисници могу да упитају регистар да би утврдили које путање Дефендер-у није дозвољено да проверава.
Антонио Кокомаци, истраживач претњи који је заслужан за откриће рањивости РемотеПотато0, напомиње да нема сигурности за ове информације.
Иако Мицрософт Дефендер не скенира све, његова команда „рег куери“ открива шта је програму наложено да не скенира, укључујући датотеке, фасцикле, екстензије и процесе.
Други стручњак за Виндовс безбедност, Натхан МцНулти, каже да је проблем присутан само на Виндовс 10 верзијама 21Х1 и 21Х2, али да неће утицати на Виндовс 11.
Подешавања групне политике
Други начин да добијете подешавања смерница групе је да преузмете листу изузетака из регистра. Ове информације пружају детаље о томе шта се искључује и осетљивије су од једноставног навођења која су подешавања активна на одређеном рачунару.
Мицрософт препоручује да онемогућите аутоматска изузимања у Мицрософт Дефендер када серверска платформа није посвећена Мицрософт стеку, каже МцНулти. Ако сервер користи софтвер који није Мицрософтов, требало би да дозволите Дефендер-у да скенира произвољне локације.
Иако листу изузетака Мицрософт Дефендер-а може добити нападач са локалним приступом, ово је мали изазов који треба превазићи.
Када је корпоративна мрежа већ угрожена, нападачи су често у потрази за начинима да се крећу користећи мање приметне алате.
Комплетно скенирање
Мицрософт Дефендер дозвољава изузимање одређених фасцикли како би спречио антивирус да скенира датотеке на тим локацијама. Аутор злонамерног софтвера тада може да складишти и изврши заражене датотеке из тих фасцикли, а да не буде примећен.
Виши консултант за безбедност каже да је први пут приметио проблем пре око осам година и одмах схватио његов потенцијал за злонамерно коришћење.
„Увек сам себи говорио да бих, да сам нека врста програмера злонамерног софтвера, само потражио ВД искључења и побринуо се да испусти мој терет у изузету фасциклу и/или га назови исто као име изузете датотеке или екстензију“, објаснио је Аура.
Ако сте администратор мреже за Мицрософт окружење, погледајте своју Мицрософт документацију за информације о томе како да искључите програм Дефендер из скенирања и покретања на свим вашим серверима и локално машине.
Шта вас највише брине у вези са рупом која хакерима пружа прилику да заобиђу Мицрософт Дефендер? Поделите своје мисли са нама у одељку за коментаре испод.