- Антивірусне програмне забезпечення Microsoft Defender має недолік, який може дозволити хакерам виконувати шкідливий код на вразливих комп’ютерах з Windows.
- Протягом щонайменше восьми років ця проблема вплинула на Windows 10 21H1 і Windows 10 21H2; однак лише нещодавно його виявили та ідентифікували.
- Вірус дозволяє хакерам зберігати шкідливі програми в нестандартних областях комп’ютера, дозволяючи їм обійти антивірусне сканування.
Зловмисник може скористатися слабкістю антивірусної функції Microsoft Defender, щоб розмістити шкідливе програмне забезпечення в місцях, які Windows Defender виключає з перевірки.
Проблема існує щонайменше вісім років, хоча лише нещодавно вона була виявлена і стосується Windows 10 21H1 і Windows 10 21H2.
Додайте місця
Microsoft Defender може виключити певні місця на вашому комп’ютері зі сканування, щоб переконатися, що області, що містять важливу інформацію, не будуть випадково пошкоджені антивірусним скануванням.
Існує багато законних програмних програм, які з різних причин антивірусні програми помилково ідентифікують як зловмисне програмне забезпечення і таким чином поміщають на карантин або блокують доступ до комп’ютера.
Якщо користувач включив ім’я користувача до свого списку винятків, це може дати зловмисника корисна інформація про систему. Це дозволяє їм зберігати шкідливі файли в областях комп’ютера, які не шукаються під час звичайного сканування.
Дослідники безпеки виявили, що програмне забезпечення захисту Microsoft Defender виключає список небезпечних місць зі сканування, але будь-який локальний користувач може отримати до нього доступ.
Порушене покриття
Незважаючи на те, що Windows Defender дозволяється перевіряти наявність шкідливого програмного забезпечення та небезпечних файлів у реєстрі, локальні користувачі можуть запитувати реєстр, щоб визначити, які шляхи Defender заборонено перевіряти.
Антоніо Кокомацці, дослідник загроз, якому приписують відкриття вразливості RemotePotato0, зазначає, що ця інформація не захищена.
Хоча Microsoft Defender сканує не все, його команда «reg query» показує, що програмі вказано не сканувати, включаючи файли, папки, розширення та процеси.
Інший експерт з безпеки Windows, Натан Макналті, каже, що проблема присутня лише в Windows 10 версій 21H1 і 21H2, але вона не торкнеться Windows 11.
Налаштування групової політики
Інший спосіб отримати налаштування групової політики — отримати список виключень з реєстру. Ця інформація містить детальну інформацію про те, що виключається, і є більш конфіденційною, ніж просто перелік налаштувань, активних на певному комп’ютері.
Microsoft рекомендує вимкнути автоматичні виключення в Microsoft Defender коли серверна платформа не призначена для стека Microsoft, каже Макналті. Якщо на сервері запущено програмне забезпечення не від Microsoft, ви повинні дозволити Defender сканувати довільні розташування.
Незважаючи на те, що список виключень Microsoft Defender може отримати зловмисник з локальним доступом, це невелика проблема, яку потрібно подолати.
Коли корпоративна мережа вже скомпрометована, зловмисники часто шукають способи пересування, використовуючи менш помітні інструменти.
Повне сканування
Microsoft Defender дозволяє виключати певні папки, щоб антивірус не сканував файли в цих місцях. Після цього автор шкідливого програмного забезпечення може зберігати та виконувати заражені файли з цих папок, не будучи поміченим.
Старший консультант із безпеки каже, що вперше помітив цю проблему приблизно вісім років тому і одразу зрозумів її потенціал для зловмисного використання.
«Завжди казав собі, що якби я був якимось розробником шкідливих програм, я б просто шукав виключення WD і переконався, що перекиньте моє корисне навантаження у виключену папку та/або назвіть її так само, як ім’я виключеного файлу чи розширення», – пояснив Аура.
Якщо ви адміністратор мережі для середовища Microsoft, перегляньте свою документацію Microsoft інформацію про те, як виключити програму Defender зі сканування та запуску на всіх ваших серверах і локально машини.
Що вас найбільше турбує з приводу лазівки, яка дає хакерам можливість обійти Microsoft Defender? Поділіться своїми думками з нами в розділі коментарів нижче.
