Microsoft Defender漏洞讓惡意程式得以躲避偵測

看板AntiVirus (防毒)作者 (多爾)時間2年前 (2022/01/17 12:57), 編輯推噓6(607)
留言13則, 12人參與, 最新討論串1/1
Microsoft Defender漏洞讓惡意程式得以躲避偵測,至少存在1年 來源:https://www.ithome.com.tw/news/148905 安全研究人員發現微軟Microsoft Defender存在一項漏洞,能讓攻擊者用來躲避偵測植入 惡意程式。安全研究人員相信這漏洞至少去年,甚至8年前就存在。 日前才揭露USB over IP軟體漏洞的SentinelOne研究人員Antonio Cocomazzi,上周再揭 露存在Defender防毒產品的漏洞。這是因為防毒產品掃瞄會造成系統效能下降、有時還會 誤判而造成運作失常,因此和所有其他防毒軟體一樣,Defender也讓用戶設定系統上的例 外位置,使防毒掃瞄略過那些區域。只要找到記錄這些例外位置的清單,攻擊者就能將惡 意程式儲存在那些區域,而不會被防毒軟體偵測到。 這就是Defender的漏洞所在。Cocomazzi發現只要在Windows搜尋列中搜尋「 HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用戶對 Defender設定的例外清單,即使是一般權限用戶也可透過GUI工具找到。此外,在 PowerShell cmdlet指令中執行GetMpPreference,也可以存取到這資訊,不過這需要具有 管理員權限。 Cocomazzi指出,這項存取控制清單(access control list,ACL)組態存誤漏洞,影響 所有版本Windows 10及Windows Server 2019,但不影響Windows 11。研究人員Nathan McNulty證實至少在去年釋出的Windows 21H1及21H2,已經存在這漏洞。 代號SecurityAura的研究人員相信這漏洞至少已經存在8年。Paul Bolton去年5月曾向微 軟安全研究中心通報這問題,但後者僅視為產品建議而未有動作。 McNulty指出PowerShell上很早以前即已限制存取權限,但GUI上的漏洞卻未曾解決。他還 說,不記得微軟何時曾經強化過登錄檔(registry)的安全性。 媒體測試將勒索軟體樣本儲存在Defender例外清單的資料夾中,Defender果真不會顯示出 任何可疑程式的警告。 微軟官方目前尚未做出說明。 ------- 就多注意一點吧! -- 大方廣佛華嚴經: 若人欲了知,三世一切佛。 應觀法界性,一切唯心造。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.171.2.15 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1642395463.A.DEA.html

01/17 14:38, 2年前 , 1F
防毒只用defender的人多嗎?
01/17 14:38, 1F

01/17 15:19, 2年前 , 2F
不曉得,有的人會說有內建的就夠了
01/17 15:19, 2F

01/17 15:40, 2年前 , 3F
電腦效能不太好的,我就會建議他用defender就好啊 XD
01/17 15:40, 3F

01/17 20:42, 2年前 , 4F
把病毒放進例外還會讓防毒叫有病毒 那我用防毒幹嘛?
01/17 20:42, 4F

01/17 20:42, 2年前 , 5F
這個媒體應該建議微軟把這個清單加密就好
01/17 20:42, 5F

01/17 20:45, 2年前 , 6F
? 例外清單不就是 就算有問題我也要執行 才叫例外呀?
01/17 20:45, 6F

01/18 00:28, 2年前 , 7F
樓下推 2022還有人在用防毒軟體、內建的就夠了
01/18 00:28, 7F

01/18 10:15, 2年前 , 8F
例外清單很好用阿 不然OO軟體無法下載
01/18 10:15, 8F

01/18 14:53, 2年前 , 9F
其他廠防毒出包的時候,內建仔就會自己出來秀優越了
01/18 14:53, 9F

01/19 12:35, 2年前 , 10F
放到例外不就是要繼續讓它執行的意思嗎?
01/19 12:35, 10F

01/26 11:12, , 11F
自己資安概念不好被搞爆牽拖內建防毒幹嘛?笑死
01/26 11:12, 11F

01/26 23:56, , 12F
其實現在要買防毒的都會被笑 大家都會說內建的就好
01/26 23:56, 12F

02/03 10:47, , 13F
Defender 在AV-Test排名已在前段班了
02/03 10:47, 13F
文章代碼(AID): #1XvFT7tg (AntiVirus)
文章代碼(AID): #1XvFT7tg (AntiVirus)