有惡意程式能躲過Microsoft Defender掃描?微軟已修補好漏洞了

微軟近日修補Windows版本Defender Antivirus中一個能讓攻擊者植入執行惡意程式,卻不觸發Defender偵測警告的漏洞。

微軟近日修補Windows版本Defender Antivirus中一個能讓攻擊者植入執行惡意程式,卻不觸發Defender偵測警告的漏洞。

這項漏洞影響Windows 10幾個版本。而且研究人員懷疑攻擊者可能至少從2014年就開始利用這漏洞了。

這漏洞源自HKLM\Software\Microsoft\Windows Defender\Exclusions登錄機碼鬆散的安全設定。這機碼包含可免於Defender掃瞄的位置(包括擋案、資料夾、擴充程式或行程)等。

開採漏洞相當容易,因為這個機碼可由「所有人」群組存取。本機使用者(不論權限)可利用指令行來查詢Windows 登錄檔。

安全專家Nathan McNulty也警告,攻擊者也可以根據從儲存群組規則的機碼樹中找出例外清單,這又是更為敏感的資訊,因為也能找出Windows網域下哪些電腦會被跳過不掃瞄。

等手握例外清單後,攻擊者就能在這些資料夾植入惡意程式執行,無需擔心會被Defender偵測並封鎖或刪除。

BleepingComputer也在一次實驗中,成功從一個資料夾中執行Conti勒索軟體,從頭到尾未觸發Defender發出警告訊息。

微軟是在本周的二月份Patch Tuesday悄悄修補這項漏洞。「所有人」群組已經從機碼存取許可名單中移除。而透過Patch Tuesday,這項變更將部署到所有Windows 10電腦中,現在必須具管理員權限才能存取Defender例外清單。

BleepingComputer、SentinelOne研究人員Antonio Cocomazzi及荷蘭研究人員SecGuru_OTX都證實無法再濫用這漏洞。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416