Osoba atakująca może wykorzystać lukę w zabezpieczeniach programu Microsoft Defender Antivirus, aby umieścić złośliwe oprogramowanie w miejscach, które program Windows Defender wyklucza ze skanowania.
Problem istnieje od co najmniej ośmiu lat, chociaż został odkryty niedawno i dotyczy systemów Windows 10 21H1 i Windows 10 21H2.
Dodaj lokalizacje
Program Microsoft Defender może wykluczyć niektóre obszary komputera ze skanowania, aby zapewnić, że obszary zawierające poufne informacje nie zostaną przypadkowo uszkodzone przez skanowanie antywirusowe.
Istnieje wiele legalnych aplikacji, które z różnych powodów są błędnie identyfikowane przez programy antywirusowe jako złośliwe oprogramowanie i w ten sposób poddają kwarantannie lub blokują dostęp do komputera.
Jeśli użytkownik umieści nazwę użytkownika na swojej liście wykluczeń, może to dać atakującemu przydatne informacje o systemie . Dzięki temu mogą przechowywać złośliwe pliki w obszarach komputera, które nie są sprawdzane podczas regularnych skanowań.
Badacze bezpieczeństwa odkryli, że oprogramowanie Microsoft Defender wyklucza listę niebezpiecznych lokalizacji ze skanowania, ale każdy lokalny użytkownik może uzyskać do niej dostęp.
Naruszony zasięg
Chociaż program Windows Defender może skanować rejestr w poszukiwaniu złośliwego oprogramowania i niebezpiecznych plików, lokalni użytkownicy mogą wysyłać zapytania do rejestru, aby określić, których ścieżek Defender nie może skanować.
Antonio Cocomazzi, badacz zagrożeń, któremu przypisuje się odkrycie luki RemotePotato0, zauważa, że te informacje nie są bezpieczne.
Chociaż program Microsoft Defender nie skanuje wszystkiego, jego polecenie „reg query” pokazuje, że programowi nie wolno skanować, w tym plików, folderów, rozszerzeń i procesów.
Inny ekspert ds. bezpieczeństwa systemu Windows, Nathan McNulty, twierdzi, że problem występuje tylko w systemie Windows 10 w wersjach 21H1 i 21H2, ale nie ma wpływu na system Windows 11.
Ustawienia zasad grupy
Innym sposobem uzyskania ustawień zasad grupy jest pobranie listy wyjątków z rejestru. Te informacje dostarczają szczegółowych informacji o tym, co jest wykluczone i są bardziej wrażliwe niż tylko wyświetlanie aktywnych ustawień na konkretnym komputerze.
Według McNulty, Microsoft zaleca wyłączenie automatycznych wykluczeń w Microsoft Defender, gdy platforma serwerowa nie jest dedykowana dla stosu Microsoft. Jeśli na serwerze jest zainstalowane oprogramowanie innej firmy, należy zezwolić usłudze Defender na skanowanie dowolnych lokalizacji.
Chociaż osoba atakująca z dostępem lokalnym może uzyskać listę wykluczeń programu Microsoft Defender, rozwiązanie tego problemu nie jest trudne.
Gdy sieć firmowa jest już zagrożona, osoby atakujące często szukają sposobów na ominięcie jej za pomocą mniej widocznych narzędzi.
Pełne skanowanie
Program Microsoft Defender umożliwia wykluczenie niektórych folderów, aby program antywirusowy nie skanował plików w tych lokalizacjach. Autor złośliwego oprogramowania może następnie bez zauważenia zapisywać i uruchamiać zainfekowane pliki z tych folderów.
Starszy konsultant ds. bezpieczeństwa twierdzi, że po raz pierwszy zauważył problem około osiem lat temu i od razu rozpoznał jego potencjalne złośliwe wykorzystanie.
„Zawsze mówiłem sobie, że gdybym był jakimś twórcą złośliwego oprogramowania, po prostu spojrzałbym na wyjątki WD i upewniłem się, że umieściłem swój ładunek w wykluczonym folderze i/lub nazwałbym go tak samo, jak nazwa lub rozszerzenie wykluczonego pliku.” wyjaśniła Aura.
Jeśli jesteś administratorem sieci w środowisku Microsoft, zapoznaj się z dokumentacją Microsoft, aby dowiedzieć się, jak wyłączyć Defender ze skanowania i uruchamiania na wszystkich Twoich serwerach i komputerach lokalnych.
Co najbardziej martwi Cię w luce, która pozwala hakerom ominąć program Microsoft Defender? Podziel się z nami swoimi przemyśleniami w sekcji komentarzy poniżej.
Dodaj komentarz