Microsoft Defender漏洞讓惡意程式得以躲避偵測

作者: bajiqa (多爾)   2022-01-17 12:57:37
Microsoft Defender漏洞讓惡意程式得以躲避偵測,至少存在1年
來源:https://www.ithome.com.tw/news/148905
安全研究人員發現微軟Microsoft Defender存在一項漏洞,能讓攻擊者用來躲避偵測植入
惡意程式。安全研究人員相信這漏洞至少去年,甚至8年前就存在。
日前才揭露USB over IP軟體漏洞的SentinelOne研究人員Antonio Cocomazzi,上周再揭
露存在Defender防毒產品的漏洞。這是因為防毒產品掃瞄會造成系統效能下降、有時還會
誤判而造成運作失常,因此和所有其他防毒軟體一樣,Defender也讓用戶設定系統上的例
外位置,使防毒掃瞄略過那些區域。只要找到記錄這些例外位置的清單,攻擊者就能將惡
意程式儲存在那些區域,而不會被防毒軟體偵測到。
這就是Defender的漏洞所在。Cocomazzi發現只要在Windows搜尋列中搜尋「
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用戶對
Defender設定的例外清單,即使是一般權限用戶也可透過GUI工具找到。此外,在
PowerShell cmdlet指令中執行GetMpPreference,也可以存取到這資訊,不過這需要具有
管理員權限。
Cocomazzi指出,這項存取控制清單(access control list,ACL)組態存誤漏洞,影響
所有版本Windows 10及Windows Server 2019,但不影響Windows 11。研究人員Nathan
McNulty證實至少在去年釋出的Windows 21H1及21H2,已經存在這漏洞。
代號SecurityAura的研究人員相信這漏洞至少已經存在8年。Paul Bolton去年5月曾向微
軟安全研究中心通報這問題,但後者僅視為產品建議而未有動作。
McNulty指出PowerShell上很早以前即已限制存取權限,但GUI上的漏洞卻未曾解決。他還
說,不記得微軟何時曾經強化過登錄檔(registry)的安全性。
媒體測試將勒索軟體樣本儲存在Defender例外清單的資料夾中,Defender果真不會顯示出
任何可疑程式的警告。
微軟官方目前尚未做出說明。
作者: ashs92223   2022-01-17 14:38:00
防毒只用defender的人多嗎?
作者: bajiqa (多爾)   2022-01-17 15:19:00
不曉得,有的人會說有內建的就夠了
作者: allen65535 (劇情急轉直下)   2022-01-17 15:40:00
電腦效能不太好的,我就會建議他用defender就好啊 XD
作者: ltytw (ltytw)   2022-01-17 20:42:00
把病毒放進例外還會讓防毒叫有病毒 那我用防毒幹嘛?這個媒體應該建議微軟把這個清單加密就好
作者: fish0112 (魚)   2022-01-17 20:45:00
? 例外清單不就是 就算有問題我也要執行 才叫例外呀?
作者: kobebbs (IloveKobe)   2022-01-18 00:28:00
樓下推 2022還有人在用防毒軟體、內建的就夠了
作者: robinsonXD (MonkeyXD)   2022-01-18 10:15:00
例外清單很好用阿 不然OO軟體無法下載
作者: nolineageno (☆鮪魚☆)   2022-01-18 14:53:00
其他廠防毒出包的時候,內建仔就會自己出來秀優越了
作者: MengXian (apollo)   2022-01-19 12:35:00
放到例外不就是要繼續讓它執行的意思嗎?
作者: fly9588 (沒有夢想的未來)   2022-01-26 11:12:00
自己資安概念不好被搞爆牽拖內建防毒幹嘛?笑死
作者: minamibaby (朋朋)   2022-01-26 23:56:00
其實現在要買防毒的都會被笑 大家都會說內建的就好
作者: guteres (走出自己的路)   2022-02-03 10:47:00
Defender 在AV-Test排名已在前段班了

Links booklink

Contact Us: admin [ a t ] ucptt.com