- Antivirový software Defender od společnosti Microsoft má chybu, která by mohla hackerům umožnit spustit škodlivý kód na zranitelných počítačích se systémem Windows.
- Po dobu nejméně osmi let se tento problém týká Windows 10 21H1 a Windows 10 21H2; avšak teprve nedávno byl objeven a identifikován.
- Virus umožňuje hackerům ukládat škodlivé programy v nerutinních oblastech počítače, což jim umožňuje obejít antivirové kontroly.
Útočník může využít slabé stránky antivirové funkce Microsoft Defender k umístění malwaru do umístění, která Windows Defender vyloučí z kontroly.
Problém existuje již nejméně osm let, i když teprve nedávno byl identifikován a týká se Windows 10 21H1 a Windows 10 21H2.
Přidejte místa
Microsoft Defender může z kontroly vyloučit konkrétní umístění ve vašem počítači, aby se ujistil, že oblasti obsahující důležité informace nebudou neúmyslně poškozeny antivirovou kontrolou.
Existuje mnoho legitimních softwarových aplikací, které antivirové programy z různých důvodů mylně identifikují jako malware, a tak dají do karantény nebo blokují přístup k počítači.
Pokud uživatel zahrne uživatelské jméno do svého seznamu výjimek, může to znamenat útočníka užitečné informace o systému. Umožňuje jim ukládat škodlivé soubory v oblastech počítače, které nejsou prohledávány během běžné kontroly.
Bezpečnostní výzkumníci zjistili, že bezpečnostní software Defender společnosti Microsoft vylučuje seznam nebezpečných míst z kontroly, ale že k němu má přístup každý místní uživatel.
Kompromisní pokrytí
Přestože má program Windows Defender povoleno kontrolovat přítomnost malwaru a nebezpečných souborů v registru, místní uživatelé se mohou dotázat registru a určit, které cesty Defender nesmí kontrolovat.
Antonio Cocomazzi, výzkumník hrozeb, kterému byl přisouzen objev zranitelnosti RemotePotato0, poznamenává, že tyto informace nemají žádné zabezpečení.
Přestože Microsoft Defender nekontroluje vše, jeho příkaz „reg query“ odhalí, co má program nekontrolovat, včetně souborů, složek, přípon a procesů.
Další expert na zabezpečení Windows, Nathan McNulty, říká, že problém se vyskytuje pouze ve Windows 10 verze 21H1 a 21H2, ale neovlivní Windows 11.
Nastavení zásad skupiny
Dalším způsobem, jak získat nastavení zásad skupiny, je získat seznam výjimek z registru. Tyto informace poskytují podrobnosti o tom, co je vyloučeno, a jsou citlivější než prostý výpis nastavení, která jsou na konkrétním počítači aktivní.
Společnost Microsoft doporučuje zakázat automatické vyloučení v Microsoft Defender když serverová platforma není vyhrazena pro zásobník Microsoftu, říká McNulty. Pokud na serveru běží software jiného výrobce než Microsoft, měli byste povolit Defenderu skenovat libovolná umístění.
Přestože seznam výjimek v programu Microsoft Defender může získat útočník s místním přístupem, je to malá výzva, kterou je třeba překonat.
Když je podniková síť již kompromitována, útočníci často hledají způsoby, jak se pohybovat pomocí méně nápadných nástrojů.
Úplné skenování
Microsoft Defender umožňuje vyloučení určitých složek, aby antivirový program nemohl skenovat soubory v těchto umístěních. Autor malwaru pak může ukládat a spouštět infikované soubory z těchto složek, aniž by byl spatřen.
Senior bezpečnostní konzultant říká, že si poprvé všiml problému asi před osmi lety a okamžitě pochopil jeho potenciál pro škodlivé použití.
„Vždycky jsem si říkal, že kdybych byl nějaký vývojář malwaru, prostě bych si vyhledal výjimky WD a přesuňte obsah do vyloučené složky a/nebo jej pojmenujte stejně jako vyloučený název souboru nebo příponu,“ vysvětlil Aura.
Pokud jste správce sítě pro prostředí společnosti Microsoft, nahlédněte do dokumentace společnosti Microsoft informace o tom, jak vyloučit program Defender z kontroly a spouštění na všech vašich serverech a lokálně stroje.
Jaké jsou vaše hlavní obavy ohledně mezery, která hackerům nabízí možnost obejít Microsoft Defender? Podělte se s námi o své myšlenky v sekci komentářů níže.
