有惡意程式能躲過Microsoft Defender掃描?微軟已修補好漏洞了
微軟近日修補Windows版本Defender Antivirus中一個能讓攻擊者植入執行惡意程式,卻不觸發Defender偵測警告的漏洞。
這項漏洞影響Windows 10幾個版本。而且研究人員懷疑攻擊者可能至少從2014年就開始利用這漏洞了。
這漏洞源自HKLM\Software\Microsoft\Windows Defender\Exclusions登錄機碼鬆散的安全設定。這機碼包含可免於Defender掃瞄的位置(包括擋案、資料夾、擴充程式或行程)等。
開採漏洞相當容易,因為這個機碼可由「所有人」群組存取。本機使用者(不論權限)可利用指令行來查詢Windows 登錄檔。
安全專家Nathan McNulty也警告,攻擊者也可以根據從儲存群組規則的機碼樹中找出例外清單,這又是更為敏感的資訊,因為也能找出Windows網域下哪些電腦會被跳過不掃瞄。
等手握例外清單後,攻擊者就能在這些資料夾植入惡意程式執行,無需擔心會被Defender偵測並封鎖或刪除。
BleepingComputer也在一次實驗中,成功從一個資料夾中執行Conti勒索軟體,從頭到尾未觸發Defender發出警告訊息。
微軟是在本周的二月份Patch Tuesday悄悄修補這項漏洞。「所有人」群組已經從機碼存取許可名單中移除。而透過Patch Tuesday,這項變更將部署到所有Windows 10電腦中,現在必須具管理員權限才能存取Defender例外清單。
BleepingComputer、SentinelOne研究人員Antonio Cocomazzi及荷蘭研究人員SecGuru_OTX都證實無法再濫用這漏洞。