- ซอฟต์แวร์ป้องกันไวรัส Defender ของ Microsoft มีข้อบกพร่องที่อาจทำให้แฮกเกอร์สามารถรันโค้ดที่เป็นอันตรายบนพีซี Windows ที่มีช่องโหว่ได้
- ปัญหานี้ส่งผลกระทบต่อ Windows 10 21H1 และ Windows 10 21H2 เป็นเวลาอย่างน้อยแปดปี อย่างไรก็ตาม ไม่นานมานี้มีการค้นพบและระบุตัวตน
- ไวรัสทำให้แฮกเกอร์สามารถเก็บโปรแกรมที่เป็นอันตรายไว้ในพื้นที่ที่ไม่ใช่งานประจำของคอมพิวเตอร์ ทำให้พวกเขาสามารถเลี่ยงการสแกนไวรัสได้
ผู้โจมตีสามารถใช้ประโยชน์จากจุดอ่อนในฟีเจอร์ป้องกันไวรัสของ Microsoft Defender เพื่อวางมัลแวร์ในตำแหน่งที่ Windows Defender แยกจากการสแกน
ปัญหานี้มีมาอย่างน้อยแปดปี แม้ว่าจะมีการระบุและส่งผลกระทบต่อ Windows 10 21H1 และ Windows 10 21H2 เมื่อไม่นานมานี้
เพิ่มสถานที่
Microsoft Defender สามารถแยกตำแหน่งเฉพาะบนคอมพิวเตอร์ของคุณออกจากการสแกน เพื่อให้แน่ใจว่าพื้นที่ที่มีข้อมูลสำคัญจะไม่ได้รับความเสียหายจากการสแกนไวรัสโดยไม่ได้ตั้งใจ
มีแอปพลิเคชั่นซอฟต์แวร์ที่ถูกกฎหมายมากมายซึ่งด้วยเหตุผลหลายประการ โปรแกรมป้องกันไวรัสระบุผิดพลาดว่าเป็นมัลแวร์ จึงกักกันหรือบล็อกไม่ให้เข้าถึงคอมพิวเตอร์
หากผู้ใช้ใส่ชื่อผู้ใช้ในรายการข้อยกเว้น อาจทำให้ผู้โจมตี
ข้อมูลที่เป็นประโยชน์เกี่ยวกับระบบ. อนุญาตให้จัดเก็บไฟล์ที่เป็นอันตรายในพื้นที่ของคอมพิวเตอร์ที่ไม่ได้ค้นหาระหว่างการสแกนตามปกตินักวิจัยด้านความปลอดภัยพบว่าซอฟต์แวร์รักษาความปลอดภัย Defender ของ Microsoft แยกรายการสถานที่อันตรายออกจากการสแกน แต่ผู้ใช้ในพื้นที่สามารถเข้าถึงได้
ความคุ้มครองที่ถูกบุกรุก
แม้ว่า Windows Defender จะได้รับอนุญาตให้ตรวจหามัลแวร์และไฟล์ที่เป็นอันตรายในรีจิสทรี ผู้ใช้ในพื้นที่สามารถสอบถามรีจิสทรีเพื่อกำหนดเส้นทางที่ Defender ไม่ได้รับอนุญาตให้ตรวจสอบ
Antonio Comazzi นักวิจัยด้านภัยคุกคามให้เครดิตกับการค้นพบช่องโหว่ของ RemotePotato0 สังเกตว่าไม่มีการรักษาความปลอดภัยสำหรับข้อมูลนี้
แม้ว่า Microsoft Defender จะไม่สแกนทุกอย่าง แต่คำสั่ง "reg query" จะเผยให้เห็นสิ่งที่โปรแกรมได้รับคำสั่งไม่ให้สแกน ซึ่งรวมถึงไฟล์ โฟลเดอร์ ส่วนขยาย และกระบวนการต่างๆ
Nathan McNulty ผู้เชี่ยวชาญด้านความปลอดภัยของ Windows อีกคนกล่าวว่าปัญหานี้มีเฉพาะใน Windows 10 เวอร์ชัน 21H1 และ 21H2 แต่จะไม่มีผลกับ Windows 11
การตั้งค่านโยบายกลุ่ม
อีกวิธีหนึ่งในการตั้งค่านโยบายกลุ่มคือการดึงรายการการยกเว้นจากรีจิสทรี ข้อมูลนี้ให้รายละเอียดเกี่ยวกับสิ่งที่ถูกยกเว้นและมีความละเอียดอ่อนมากกว่าเพียงแค่แสดงรายการการตั้งค่าที่ทำงานอยู่ในคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง
Microsoft แนะนำให้คุณปิดใช้งานการยกเว้นอัตโนมัติใน Microsoft Defender เมื่อแพลตฟอร์มเซิร์ฟเวอร์ไม่ได้ทุ่มเทให้กับสแต็คของ Microsoft McNulty กล่าว หากเซิร์ฟเวอร์ใช้งานซอฟต์แวร์ที่ไม่ใช่ของ Microsoft คุณควรอนุญาตให้ Defender สแกนตำแหน่งตามอำเภอใจ
แม้ว่าผู้โจมตีที่มีการเข้าถึงในเครื่องจะสามารถรับรายการยกเว้นของ Microsoft Defender ได้ แต่นี่เป็นความท้าทายเล็กน้อยที่จะเอาชนะ
เมื่อเครือข่ายองค์กรถูกบุกรุกแล้ว ผู้โจมตีมักจะมองหาวิธีการเคลื่อนย้ายโดยใช้เครื่องมือที่ไม่ค่อยมีใครสังเกตเห็น
การสแกนเต็มรูปแบบ
Microsoft Defender อนุญาตให้ยกเว้นบางโฟลเดอร์เพื่อป้องกันไม่ให้โปรแกรมป้องกันไวรัสสแกนไฟล์ในตำแหน่งเหล่านั้น ผู้สร้างมัลแวร์สามารถจัดเก็บและเรียกใช้ไฟล์ที่ติดไวรัสจากโฟลเดอร์เหล่านั้นโดยไม่ถูกตรวจพบ
ที่ปรึกษาด้านความปลอดภัยอาวุโสกล่าวว่าเขาสังเกตเห็นปัญหาดังกล่าวครั้งแรกเมื่อประมาณแปดปีที่แล้ว และเข้าใจถึงศักยภาพของปัญหาในทันทีสำหรับการใช้งานที่เป็นอันตราย
“บอกตัวเองเสมอว่าถ้าฉันเป็นผู้พัฒนามัลแวร์ ฉันจะค้นหาการยกเว้น WD และทำให้แน่ใจว่า วางเพย์โหลดของฉันลงในโฟลเดอร์ที่แยกออก และ/หรือตั้งชื่อให้เหมือนกับชื่อไฟล์หรือนามสกุลที่ยกเว้น” อธิบาย ออร่า.
หากคุณเป็นผู้ดูแลระบบเครือข่ายสำหรับสภาพแวดล้อมของ Microsoft โปรดดูเอกสารประกอบของ Microsoft สำหรับ ข้อมูลเกี่ยวกับวิธีการแยกโปรแกรม Defender จากการสแกนและทำงานบนเซิร์ฟเวอร์และในเครื่องของคุณทั้งหมด เครื่อง
อะไรคือข้อกังวลหลักของคุณเกี่ยวกับช่องโหว่ที่ทำให้แฮกเกอร์มีโอกาสเลี่ยงผ่าน Microsoft Defender แบ่งปันความคิดของคุณกับเราในส่วนความคิดเห็นด้านล่าง
