有惡意程式能躲過 Microsoft Defender 掃描？微軟已修補好漏洞了

微軟近日修補 Windows 版本 Defender Antivirus 中一個能讓攻擊者植入執行惡意程式，卻不觸發 Defender 偵測警告的漏洞。

這項漏洞影響 Windows 10 幾個版本。而且研究人員懷疑攻擊者可能至少從 2014 年就開始利用這漏洞了。

這漏洞源自 HKLM\Software\Microsoft\Windows Defender\Exclusions 登錄機碼鬆散的安全設定。這機碼包含可免於 Defender 掃瞄的位置（包括擋案、資料夾、擴充程式或行程）等。

開採漏洞相當容易，因為這個機碼可由「所有人」群組存取。本機使用者（不論權限）可利用指令行來查詢 Windows 登錄檔。

安全專家 Nathan McNulty 也警告，攻擊者也可以根據從儲存群組規則的機碼樹中找出例外清單，這又是更為敏感的資訊，因為也能找出 Windows 網域下哪些電腦會被跳過不掃瞄。

等手握例外清單後，攻擊者就能在這些資料夾植入惡意程式執行，無需擔心會被 Defender 偵測並封鎖或刪除。

BleepingComputer 也在一次實驗中，成功從一個資料夾中執行 Conti 勒索軟體，從頭到尾未觸發 Defender 發出警告訊息。

微軟是在本周的二月份 Patch Tuesday 悄悄修補這項漏洞。「所有人」群組已經從機碼存取許可名單中移除。而透過 Patch Tuesday，這項變更將部署到所有 Windows 10 電腦中，現在必須具管理員權限才能存取 Defender 例外清單。

BleepingComputer、SentinelOne 研究人員 Antonio Cocomazzi 及荷蘭研究人員 SecGuru_OTX 都證實無法再濫用這漏洞。

來源：Bleeping Computer