Microsoft Defender漏洞讓惡意程式得以躲避偵測

看板AntiVirus (防毒)作者bajiqa (多爾)時間2年前 (2022/01/17 12:57)推噓5(5推 0噓 5→)

留言10則, 9人參與討論串1/1

Microsoft Defender漏洞讓惡意程式得以躲避偵測，至少存在1年來源：https://www.ithome.com.tw/news/148905 安全研究人員發現微軟Microsoft Defender存在一項漏洞，能讓攻擊者用來躲避偵測植入惡意程式。安全研究人員相信這漏洞至少去年，甚至8年前就存在。日前才揭露USB over IP軟體漏洞的SentinelOne研究人員Antonio Cocomazzi，上周再揭露存在Defender防毒產品的漏洞。這是因為防毒產品掃瞄會造成系統效能下降、有時還會誤判而造成運作失常，因此和所有其他防毒軟體一樣，Defender也讓用戶設定系統上的例外位置，使防毒掃瞄略過那些區域。只要找到記錄這些例外位置的清單，攻擊者就能將惡意程式儲存在那些區域，而不會被防毒軟體偵測到。這就是Defender的漏洞所在。Cocomazzi發現只要在Windows搜尋列中搜尋「 HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用戶對 Defender設定的例外清單，即使是一般權限用戶也可透過GUI工具找到。此外，在 PowerShell cmdlet指令中執行GetMpPreference，也可以存取到這資訊，不過這需要具有管理員權限。 Cocomazzi指出，這項存取控制清單（access control list，ACL）組態存誤漏洞，影響所有版本Windows 10及Windows Server 2019，但不影響Windows 11。研究人員Nathan McNulty證實至少在去年釋出的Windows 21H1及21H2，已經存在這漏洞。代號SecurityAura的研究人員相信這漏洞至少已經存在8年。Paul Bolton去年5月曾向微軟安全研究中心通報這問題，但後者僅視為產品建議而未有動作。 McNulty指出PowerShell上很早以前即已限制存取權限，但GUI上的漏洞卻未曾解決。他還說，不記得微軟何時曾經強化過登錄檔（registry）的安全性。媒體測試將勒索軟體樣本儲存在Defender例外清單的資料夾中，Defender果真不會顯示出任何可疑程式的警告。微軟官方目前尚未做出說明。 ------- 就多注意一點吧！ -- 大方廣佛華嚴經：若人欲了知，三世一切佛。應觀法界性，一切唯心造。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.171.2.15 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1642395463.A.DEA.html