Badacze bezpieczeństwa odkryli lukę w oprogramowaniu antywirusowym firmy Microsoft, która umożliwia atakującym ominięcie ochrony przed złośliwym oprogramowaniem na komputerach z systemem Windows.
Raport Bleeping Computer dotyczący problemu z najnowszymi wersjami systemu operacyjnego Microsoft Windows 10 stwierdza, że problem dotyczy szczególnie urządzeń z wersjami 21H1 i 21H2.
Microsoft Defender
Microsoft Defender to bezpłatny program chroniący przed złośliwym oprogramowaniem, który skanuje pliki i procesy pod kątem zagrożeń i może chronić komputer z systemem Windows przed wirusami, złośliwym oprogramowaniem, oprogramowaniem ransomware i innymi zagrożeniami bezpieczeństwa.
Dodatek Windows Defender Security Center umożliwia również zapobieganie skanowaniu określonych plików, typów plików, folderów, procesów, lokalizacji lub plików wykonywalnych za pomocą funkcji wykluczania.
Ta funkcja może być przydatna w pewnych sytuacjach, w których złośliwe oprogramowanie jest błędnie klasyfikowane jako legalna aplikacja.
Listy wykluczeń, które chronią różne komponenty systemu Windows 10, różnią się w zależności od użytkownika i umożliwiają atakującym śledzenie lokalizacji i przechowywanie złośliwych plików na urządzeniach.
Antonio Cocomazzi, badacz zagrożeń w SentinelOne, powiedział, że Microsoft Defender umożliwia każdemu lokalnemu użytkownikowi odczytywanie poufnych danych przechowywanych na listach wykluczeń za pomocą zapytań rejestru; jest w rzeczywistości dokładna i nie używa mowy nieformalnej.
Narzędzie Windows Defender AV umożliwia użytkownikom odczytywanie wyjątków systemu plików i rejestru w systemie.
Luka w zabezpieczeniach programu Microsoft Defender
Ponadto architekt cyberbezpieczeństwa Nathan McNulty wskazał, że osoby atakujące mogą wykorzystać drzewo rejestru, aby uzyskać dostęp do list wykluczeń dla wielu systemów.
„Dla tych, którzy konfigurują Defender AV na serwerach, pamiętaj, że istnieją automatyczne wykluczenia, które są włączane po zainstalowaniu określonych ról lub funkcji” – napisał na Twitterze McNulty.
Możesz jednak utworzyć niestandardową lokalizację instalacji dla aplikacji, której nie ma na liście.
Aktualizacje bezpieczeństwa
Firma Microsoft ogłosiła dzisiaj aktualizację zabezpieczeń, która usuwa lukę, którą może wykorzystać złośliwe oprogramowanie. Luka została po raz pierwszy zgłoszona przez badaczy bezpieczeństwa osiem lat temu.
Firma Microsoft nie rozwiązała jeszcze tego problemu i nie wiadomo, kiedy rozwiązanie może być dostępne dla użytkowników jej systemu operacyjnego Windows.
Zachęcamy administratorów do konfigurowania wykluczeń usługi Microsoft Defender przy użyciu zasad grupy zarówno na komputerach z systemem Windows 10, jak i komputerach z systemem Windows Server.
Czy spotkałeś się już wcześniej z luką w zabezpieczeniach programu Microsoft Defender? Podziel się z nami swoimi przemyśleniami w sekcji komentarzy poniżej.
Dodaj komentarz