Microsoft Defender漏洞让恶意程式得以躲避侦测,至少存在1年
来源:https://www.ithome.com.tw/news/148905
安全研究人员发现微软Microsoft Defender存在一项漏洞,能让攻击者用来躲避侦测植入
恶意程式。安全研究人员相信这漏洞至少去年,甚至8年前就存在。
日前才揭露USB over IP软件漏洞的SentinelOne研究人员Antonio Cocomazzi,上周再揭
露存在Defender防毒产品的漏洞。这是因为防毒产品扫瞄会造成系统效能下降、有时还会
误判而造成运作失常,因此和所有其他防毒软件一样,Defender也让用户设定系统上的例
外位置,使防毒扫瞄略过那些区域。只要找到记录这些例外位置的清单,攻击者就能将恶
意程式储存在那些区域,而不会被防毒软件侦测到。
这就是Defender的漏洞所在。Cocomazzi发现只要在Windows搜寻列中搜寻“
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions”及“
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions”可以找到用户对
Defender设定的例外清单,即使是一般权限用户也可透过GUI工具找到。此外,在
PowerShell cmdlet指令中执行GetMpPreference,也可以存取到这资讯,不过这需要具有
管理员权限。
Cocomazzi指出,这项存取控制清单(access control list,ACL)组态存误漏洞,影响
所有版本Windows 10及Windows Server 2019,但不影响Windows 11。研究人员Nathan
McNulty证实至少在去年释出的Windows 21H1及21H2,已经存在这漏洞。
代号SecurityAura的研究人员相信这漏洞至少已经存在8年。Paul Bolton去年5月曾向微
软安全研究中心通报这问题,但后者仅视为产品建议而未有动作。
McNulty指出PowerShell上很早以前即已限制存取权限,但GUI上的漏洞却未曾解决。他还
说,不记得微软何时曾经强化过登录档(registry)的安全性。
媒体测试将勒索软件样本储存在Defender例外清单的资料夹中,Defender果真不会显示出
任何可疑程式的警告。
微软官方目前尚未做出说明。