Microsoft Windows Defender har en bugg som låter skadlig programvara glida igenom oupptäckt

En angripare kan dra fördel av en svaghet i Microsoft Defender-antivirusfunktionen för att plantera skadlig programvara på platser som Windows Defender utesluter från genomsökning.

Problemet har funnits i minst åtta år men först nyligen identifierades det och påverkar Windows 10 21H1 och Windows 10 21H2.

Lägg till platser

Microsoft Defender kan utesluta specifika platser på din dator från genomsökning för att säkerställa att områden som innehåller viktig information inte oavsiktligt skadas av en antivirusgenomsökning.

Det finns många legitima program som, av olika anledningar, antivirusprogram av misstag identifierar som skadlig programvara och därmed sätter i karantän eller blockerar åtkomst till en dator.

Om en användare inkluderar ett användarnamn i sin lista över undantag kan det ge en angripare användbar information om systemet. Det tillåter dem att lagra skadliga filer i områden på datorn som inte genomsöks under en rutinsökning.

Säkerhetsforskare fann att Microsofts säkerhetsprogramvara Defender utesluter en lista över farliga platser från genomsökning, men att alla lokala användare kan komma åt den.

Äventyrad täckning

Även om Windows Defender tillåts söka efter skadlig programvara och farliga filer i registret, kan lokala användare fråga registret för att avgöra vilka sökvägar Defender inte får kontrollera.

Antonio Cocomazzi, hotforskaren som krediteras med upptäckten av RemotePotato0-sårbarheten, noterar att det inte finns någon säkerhet för denna information.

Även om Microsoft Defender inte skannar allt, avslöjar dess "reg query"-kommando vad programmet instrueras att inte skanna, inklusive filer, mappar, tillägg och processer.

En annan Windows-säkerhetsexpert, Nathan McNulty, säger att problemet bara finns på Windows 10 versionerna 21H1 och 21H2 men det kommer inte att påverka Windows 11.

Grupppolicyinställningar

Ett annat sätt att få grupprincipinställningar är att ta tag i listan över undantag från registret. Den här informationen ger detaljer om vad som utesluts och är mer känslig än att bara lista vilka inställningar som är aktiva på en viss dator.

Microsoft rekommenderar att du inaktiverar automatiska uteslutningar i Microsoft Defender när serverplattformen inte är dedikerad till Microsoft-stacken, säger McNulty. Om en server kör programvara som inte kommer från Microsoft bör du tillåta Defender att skanna godtyckliga platser.

Även om Microsoft Defender-undantagslistan kan erhållas av en angripare med lokal åtkomst, är detta en liten utmaning att övervinna.

När ett företagsnätverk redan är äventyrat är angripare ofta på jakt efter sätt att flytta runt med mindre märkbara verktyg.

Fullständig genomsökning

Microsoft Defender tillåter uteslutning av vissa mappar för att hindra antivirusprogrammet från att skanna filer på dessa platser. Skadlig programvara kan sedan lagra och köra infekterade filer från dessa mappar utan att bli upptäckt.

En senior säkerhetskonsult säger att han först märkte problemet för ungefär åtta år sedan och omedelbart förstod dess potential för skadlig användning.

"Har alltid sagt till mig själv att om jag var någon form av skadlig programvara skulle jag bara leta upp WD-exkluderingarna och se till att släpp min nyttolast i en utesluten mapp och/eller namnge den på samma sätt som ett exkluderat filnamn eller tillägg", förklarade Aura.

Om du är nätverksadministratör för en Microsoft-miljö, se din Microsoft-dokumentation för information om hur du utesluter Defender-programmet från att skanna och köras på alla dina servrar och lokalt maskiner.

Vilka är dina största farhågor om kryphålet som ger hackare möjlighet att kringgå Microsoft Defender? Dela dina tankar med oss ​​i kommentarsfältet nedan.