這個問題已經存在了至少八年,儘管它最近才被發現並影響 Windows 10 21H1 和 Windows 10 21H2。
添加位置
Microsoft Defender 可以從掃描中排除計算機上的某些區域,以確保包含敏感信息的區域不會被防病毒掃描意外損壞。
有許多合法的軟件應用程序由於各種原因被防病毒程序錯誤地識別為惡意軟件,從而隔離或阻止對計算機的訪問。
如果用戶在他們的排除列表中包含用戶名,這可以為攻擊者提供有關係統的有用信息。這允許他們將惡意文件存儲在常規掃描期間未檢查的計算機區域中。
安全研究人員發現,Microsoft Defender 軟件將危險位置列表排除在掃描範圍之外,但任何本地用戶都可以訪問它。
覆蓋範圍受損
儘管允許 Windows Defender 掃描註冊表以查找惡意軟件和危險文件,但本地用戶可以查詢註冊表以確定 Defender 無法掃描的路徑。
發現 RemotePotato0 漏洞的威脅研究人員 Antonio Cocomazzi 指出,此信息不安全。
儘管 Microsoft Defender 不會掃描所有內容,但其“reg query”命令顯示程序被告知不要掃描,包括文件、文件夾、擴展名和進程。
另一位 Windows 安全專家 Nathan McNulty 表示,該問題僅存在於 Windows 10 版本 21H1 和 21H2 中,但不會影響 Windows 11。
組策略設置
獲取組策略設置的另一種方法是從註冊表中獲取例外列表。此信息提供有關排除內容的詳細信息,並且比僅列出特定計算機上的活動設置更敏感。
根據 McNulty 的說法,當服務器平台不專用於 Microsoft 堆棧時,Microsoft 建議在 Microsoft Defender 中禁用自動排除。如果服務器上安裝了第三方軟件,您應該允許 Defender 掃描任意位置。
雖然具有本地訪問權限的攻擊者可以獲取 Microsoft Defender 排除列表,但修復此問題並不難。
當企業網絡已經受到威脅時,攻擊者通常會尋找使用不太明顯的工具繞過它的方法。
全掃描
Microsoft Defender 允許您排除某些文件夾,以便您的防病毒軟件不會掃描這些位置的文件。然後,惡意軟件作者可以從這些文件夾中保存和運行受感染的文件,而不會被注意到。
這位高級安全顧問說,他大約八年前第一次注意到這個問題,並立即意識到它可能被惡意使用。
“總是告訴自己,如果我是某種惡意軟件開發人員,我只會查看 WD 異常,並確保將我的有效負載放在排除文件夾中和/或將其命名為與排除文件的名稱或擴展名相同,”奧拉解釋道。
如果您是 Microsoft 環境的網絡管理員,請參閱 Microsoft 文檔以獲取有關如何將 Defender 排除在所有服務器和本地計算機上的掃描和運行之外的信息。
對於允許黑客繞過 Microsoft Defender 的漏洞,您最擔心的是什麼?在下面的評論部分與我們分享您的想法。
發佈留言