Microsoft Defender漏洞让恶意程序得以躲避侦测,至少存在1年

研究人员发现Microsoft Defender例外列表的搜寻管道,这让攻击者能将恶意程序储存在那些区域,以躲避防毒软体侦测

Microsoft Defender漏洞让恶意程序得以躲避侦测,至少存在1年

安全研究人员发现微软Microsoft Defender存在一项漏洞,能让攻击者用来躲避侦测植入恶意程序。 安全研究人员相信这漏洞至少去年,甚至8年前就存在。

日前才揭露USB over IP软件漏洞的SentinelOne研究人员Antonio Cocomazzi,上周再揭露存在Defender防毒产品的漏洞。 这是因为防毒产品扫瞄会造成系统效能下降、有时还会误判而造成运作失常,因此和所有其他防毒软件一样,Defender也让用户设定系统上的例外位置,使防毒扫瞄略过那些区域。 只要找到记录这些例外位置的清单,攻击者就能将恶意程序储存在那些区域,而不会被防毒软体侦测到。

这就是Defender的漏洞所在。 Cocomazzi发现只要在Windows搜寻列中搜索「HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用户对Defender设定的例外列表, 即使是一般权限用户也可通过GUI工具找到。 此外,在PowerShell cmdlet指令中执行GetMpPreference,也可以访问到这信息,不过这需要具有管理员权限。

Microsoft Defender漏洞让恶意程序得以躲避侦测,至少存在1年

Cocomazzi指出,这项访问控制列表(access control list,ACL)配置存误漏洞,影响所有版本Windows 10及Windows Server 2019,但不影响Windows 11。 研究人员Nathan McNulty证实至少在去年释出的Windows 21H1及21H2,已经存在这漏洞。

代号SecurityAura的研究人员相信这漏洞至少已经存在8年。 Paul Bolton去年5月曾向微软安全研究中心通报这问题,但后者仅视为产品建议而未有动作。

McNulty指出 PowerShell上很早以前即已限制存取权限,但GUI上的漏洞却未曾解决。 他还说,不记得微软何时曾经强化过登录文件(registry)的安全性。

媒体测试将勒索软件样本储存在Defender例外列表的文件夹中,Defender果真不会显示出任何可疑程序的警告。

微软官方目前尚未做出说明。

(0)
打赏 微信扫一扫 微信扫一扫

相关推荐

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注