0x00 风险概述
2022年1月12日,SentinelOne威胁研究人员披露,Windows 上的 Microsoft Defender 防病毒软件中存在一个至少8年的安全问题,攻击者能够利用此问题在扫描排除的位置植入恶意软件。
0x01 攻击详情
Microsoft Defender 允许用户在其系统上添加应从恶意软件扫描中排除的位置(本地或 络),以避免不必要的误 。由于扫描排除位置因用户而异,因此攻击者可以在此位置存储恶意文件,而不必担心被检测到。
研究人员发现,从 Microsoft Defender 扫描中排除的位置列表不受保护,任何本地用户都可以访问它,而无论其权限如何。
本地用户可以通过查询注册表以了解不允许 Microsoft Defender 检查恶意软件或危险文件的路径,当运行“regquery”命令会显示 Microsoft Defender 被指示不要扫描的内容,无论是文件、文件夹、扩展名还是进程。
研究人员McNulty表示,该问题存在于 Windows 10 版本 21H1 和 21H2 上,但不影响Windows 11。此外,还可以从注册表树中获取存储组策略设置的条目的排除列表。而服务器上的MicrosoftDefender有 “自动排除功能,在安装特定角色或功能时被启用”,这些功能不包括自定义位置。
攻击者需要本地访问才能获取 Microsoft Defender 排除列表信息,因此已经成功入侵 Windows 计算机的攻击者可以存储和执行排除位置中的恶意软件。经测试,排除位置上的恶意软件在 Windows 系统上不受阻碍地运行,并且没有触发 Microsoft Defender 的警 ;而当恶意软件从正常位置执行时,Microsoft Defender 启动并阻止了该恶意软件。
相关研究人员曾在8年前注意到此问题,并意识到了此问题的安全风险。但直至今日,微软尚未解决此问题,因此 络管理员应通过组策略在服务器和本地计算机上正确配置 Microsoft Defender排除项。
0x02 风险等级
高危。
0x03 影响范围
已知的受影响系统包括:
Windows 10 21H1
Windows 10 21H2
0x04 安全建议
目前微软尚未解决此问题,建议受影响用户正确配置Microsoft Defender并加强安全防护。
0x05 参考链接
https://www.bleepingcomputer.com/news/security/microsoft-defender-weakness-lets-hackers-bypass-malware-detection/
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-local-policy-overrides-microsoft-defender-antivirus?view=o365-worldwide#use-group-policy-to-disable-local-list-merging
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!