Microsoft Defender漏洞讓惡意程式得以躲避偵測,至少存在1年
來源:https://www.ithome.com.tw/news/148905
安全研究人員發現微軟Microsoft Defender存在一項漏洞,能讓攻擊者用來躲避偵測植入
惡意程式。安全研究人員相信這漏洞至少去年,甚至8年前就存在。
日前才揭露USB over IP軟體漏洞的SentinelOne研究人員Antonio Cocomazzi,上周再揭
露存在Defender防毒產品的漏洞。這是因為防毒產品掃瞄會造成系統效能下降、有時還會
誤判而造成運作失常,因此和所有其他防毒軟體一樣,Defender也讓用戶設定系統上的例
外位置,使防毒掃瞄略過那些區域。只要找到記錄這些例外位置的清單,攻擊者就能將惡
意程式儲存在那些區域,而不會被防毒軟體偵測到。
這就是Defender的漏洞所在。Cocomazzi發現只要在Windows搜尋列中搜尋「
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用戶對
Defender設定的例外清單,即使是一般權限用戶也可透過GUI工具找到。此外,在
PowerShell cmdlet指令中執行GetMpPreference,也可以存取到這資訊,不過這需要具有
管理員權限。
Cocomazzi指出,這項存取控制清單(access control list,ACL)組態存誤漏洞,影響
所有版本Windows 10及Windows Server 2019,但不影響Windows 11。研究人員Nathan
McNulty證實至少在去年釋出的Windows 21H1及21H2,已經存在這漏洞。
代號SecurityAura的研究人員相信這漏洞至少已經存在8年。Paul Bolton去年5月曾向微
軟安全研究中心通報這問題,但後者僅視為產品建議而未有動作。
McNulty指出PowerShell上很早以前即已限制存取權限,但GUI上的漏洞卻未曾解決。他還
說,不記得微軟何時曾經強化過登錄檔(registry)的安全性。
媒體測試將勒索軟體樣本儲存在Defender例外清單的資料夾中,Defender果真不會顯示出
任何可疑程式的警告。
微軟官方目前尚未做出說明。