- Microsoftov antivirusni softver Defender ima manu koja bi hakerima mogla dopustiti izvršavanje zlonamjernog koda na ranjivim Windows računalima.
- Najmanje osam godina ovaj problem utječe na Windows 10 21H1 i Windows 10 21H2; međutim, tek nedavno je otkriven i identificiran.
- Virus hakerima omogućuje pohranjivanje zlonamjernih programa u nerutinskim područjima računala, dopuštajući im da zaobiđu antivirusna skeniranja.
Napadač može iskoristiti slabost antivirusne značajke Microsoft Defender za postavljanje zlonamjernog softvera na mjesta koja Windows Defender isključuje iz skeniranja.
Problem postoji najmanje osam godina iako je tek nedavno identificiran i utječe na Windows 10 21H1 i Windows 10 21H2.
Dodajte lokacije
Microsoft Defender može isključiti određena mjesta na vašem računalu iz skeniranja kako bi se osiguralo da područja koja sadrže važne informacije ne budu slučajno oštećena antivirusnim skeniranjem.
Postoji mnogo legitimnih softverskih aplikacija koje, iz različitih razloga, antivirusni programi pogrešno identificiraju kao zlonamjerni softver i stoga stavljaju u karantenu ili blokiraju pristup računalu.
Ako korisnik uključi korisničko ime na svoj popis iznimaka, to bi moglo dati napadaču korisne informacije o sustavu. Omogućuje im pohranu zlonamjernih datoteka u područjima računala koja se ne pretražuju tijekom rutinskog skeniranja.
Istraživači sigurnosti otkrili su da Microsoftov sigurnosni softver Defender isključuje popis opasnih lokacija iz skeniranja, ali da mu svaki lokalni korisnik može pristupiti.
Kompromitirana pokrivenost
Iako je Windows Defenderu dopušteno provjeravati zlonamjerni softver i opasne datoteke u registru, lokalni korisnici mogu postaviti upit registru kako bi utvrdili koje putove Defender ne smije provjeravati.
Antonio Cocomazzi, istraživač prijetnji zaslužan za otkriće ranjivosti RemotePotato0, napominje da za ove informacije nema sigurnosti.
Iako Microsoft Defender ne skenira sve, njegova naredba "reg query" otkriva što je programu naloženo da ne skenira, uključujući datoteke, mape, ekstenzije i procese.
Drugi stručnjak za sigurnost sustava Windows, Nathan McNulty, kaže da je problem prisutan samo na Windows 10 verzijama 21H1 i 21H2, ali da neće utjecati na Windows 11.
Postavke grupnih pravila
Drugi način za dobivanje postavki grupnih pravila je preuzimanje popisa izuzetaka iz registra. Ove informacije pružaju pojedinosti o tome što se isključuje i osjetljivije su od jednostavnog navođenja postavki koje su aktivne na određenom računalu.
Microsoft preporučuje da onemogućite automatska izuzimanja u Microsoft Defender kada poslužiteljska platforma nije posvećena Microsoftovom stogu, kaže McNulty. Ako poslužitelj pokreće softver koji nije Microsoftov, trebali biste dopustiti Defenderu skeniranje proizvoljnih lokacija.
Iako popis isključenja Microsoft Defendera može dobiti napadač s lokalnim pristupom, ovo je mali izazov koji treba prevladati.
Kada je korporativna mreža već ugrožena, napadači su često u potrazi za načinima kretanja koristeći manje uočljive alate.
Kompletno skeniranje
Microsoft Defender dopušta izuzimanje određenih mapa kako bi antivirusni program spriječio skeniranje datoteka na tim lokacijama. Autor zlonamjernog softvera tada može pohraniti i izvršiti zaražene datoteke iz tih mapa bez da bude uočen.
Viši savjetnik za sigurnost kaže da je prvi put uočio problem prije otprilike osam godina i odmah shvatio njegov potencijal za zlonamjerno korištenje.
“Uvijek sam sebi govorio da bih, da sam neka vrsta programera zlonamjernog softvera, samo potražio izuzimanja WD-a i pobrinuo se da ispusti moj teret u isključenu mapu i/ili ga imenuje isto kao i naziv izuzete datoteke ili ekstenzija", objasnio je Aura.
Ako ste mrežni administrator za Microsoftovo okruženje, pogledajte svoju Microsoftovu dokumentaciju informacije o tome kako isključiti program Defender iz skeniranja i pokretanja na svim vašim poslužiteljima i lokalno strojevi.
Koje su vaše glavne zabrinutosti u vezi s rupom koja hakerima pruža priliku da zaobiđu Microsoft Defender? Podijelite svoje misli s nama u odjeljku za komentare ispod.
