- Microsoft'un Defender antivirüs yazılımı, bilgisayar korsanlarının savunmasız Windows PC'lerde kötü amaçlı kod yürütmesine izin verebilecek bir kusura sahiptir.
- En az sekiz yıldır bu sorun Windows 10 21H1 ve Windows 10 21H2'yi etkilemiştir; ancak yakın zamana kadar keşfedilip tanımlanmamıştı.
- Virüs, bilgisayar korsanlarının kötü amaçlı programları bilgisayarın rutin olmayan alanlarında depolamasına izin vererek, virüsten koruma taramalarını atlamalarına olanak tanır.
Saldırgan, Windows Defender'ın tarama dışında bıraktığı konumlara kötü amaçlı yazılım yerleştirmek için Microsoft Defender virüsten koruma özelliğindeki bir zayıflıktan yararlanabilir.
Sorun en az sekiz yıldır var, ancak yakın zamanda tespit edildi ve Windows 10 21H1 ve Windows 10 21H2'yi etkiliyor.
Konum ekle
Microsoft Defender, önemli bilgileri içeren alanların bir virüsten koruma taraması tarafından yanlışlıkla zarar görmemesini sağlamak için bilgisayarınızdaki belirli konumları taramanın dışında tutabilir.
Çeşitli nedenlerle virüsten koruma programlarının yanlışlıkla kötü amaçlı yazılım olarak tanımladığı ve dolayısıyla karantinaya alan veya bir bilgisayara erişimi engelleyen birçok meşru yazılım uygulaması vardır.
Bir kullanıcı, istisnalar listesine bir kullanıcı adı eklerse, bir saldırgana sistem hakkında faydalı bilgiler. Bilgisayarın rutin bir tarama sırasında aranmayan alanlarında kötü amaçlı dosyaları saklamalarına olanak tanır.
Güvenlik araştırmacıları, Microsoft'un Defender güvenlik yazılımının, tehlikeli konumların listesini taramanın dışında tuttuğunu, ancak herhangi bir yerel kullanıcının buna erişebileceğini buldu.
Güvenliği ihlal edilmiş kapsama alanı
Windows Defender'ın kayıt defterindeki kötü amaçlı yazılımları ve tehlikeli dosyaları denetlemesine izin verilse de, yerel kullanıcılar Defender'ın hangi yolları denetlemesine izin verilmediğini belirlemek için kayıt defterini sorgulayabilir.
RemotePotato0 güvenlik açığının keşfedilmesiyle tanınan tehdit araştırmacısı Antonio Cocomazzi, bu bilgiler için güvenlik olmadığını belirtiyor.
Microsoft Defender her şeyi taramasa da, "reg sorgusu" komutu, dosyalar, klasörler, uzantılar ve işlemler dahil olmak üzere programa neyi taramaması talimatını verir.
Başka bir Windows güvenlik uzmanı Nathan McNulty, sorunun yalnızca Windows 10 21H1 ve 21H2 sürümlerinde bulunduğunu, ancak Windows 11'i etkilemeyeceğini söylüyor.
Grup ilkesi ayarları
Grup İlkesi ayarlarını almanın başka bir yolu, kayıt defterinden hariç tutulanların listesini almaktır. Bu bilgi, neyin hariç tutulduğu hakkında ayrıntılar sağlar ve belirli bir bilgisayarda hangi ayarların etkin olduğunu basitçe listelemekten daha hassastır.
Microsoft, otomatik dışlamaları devre dışı bırakmanızı önerir. Microsoft Defender McNulty, sunucu platformu Microsoft yığınına tahsis edilmediğinde, diyor. Bir sunucu Microsoft'a ait olmayan bir yazılım çalıştırıyorsa, Defender'ın rastgele konumları taramasına izin vermelisiniz.
Microsoft Defender hariç tutma listesi yerel erişime sahip bir saldırgan tarafından elde edilebilse de, bu üstesinden gelinmesi gereken küçük bir zorluktur.
Bir şirket ağının güvenliği zaten ihlal edildiğinde, saldırganlar genellikle daha az fark edilebilir araçlar kullanarak hareket etmenin yollarını ararlar.
Tam tarama
Microsoft Defender, antivirüsün bu konumlardaki dosyaları taramasını engellemek için belirli klasörlerin hariç tutulmasına izin verir. Kötü amaçlı yazılımın yazarı daha sonra bu klasörlerdeki virüslü dosyaları fark edilmeden depolayabilir ve çalıştırabilir.
Üst düzey bir güvenlik danışmanı, sorunu ilk kez yaklaşık sekiz yıl önce fark ettiğini ve kötü niyetli kullanım potansiyelini hemen anladığını söylüyor.
"Kendime her zaman, bir tür kötü amaçlı yazılım geliştiricisi olsaydım, WD hariç tutmalarına bakardım ve yükümü hariç tutulan bir klasöre bırakın ve/veya onu hariç tutulan bir dosya adı veya uzantısıyla aynı şekilde adlandırın," diye açıkladı aura.
Bir Microsoft ortamında ağ yöneticisiyseniz, Microsoft belgelerinize bakın. Defender programının tüm sunucularınızda ve yerel sunucularınızda tarama yapmasını ve çalıştırmasını nasıl engelleyeceğiniz hakkında bilgi makineler.
Bilgisayar korsanlarına Microsoft Defender'ı atlama fırsatı sunan boşlukla ilgili en büyük endişeleriniz nelerdir? Aşağıdaki yorum bölümünde düşüncelerinizi bizimle paylaşın.
