有惡意程式能躲過Microsoft Defender掃描？微軟已修補好漏洞了

微軟近日修補Windows版本Defender Antivirus中一個能讓攻擊者植入執行惡意程式，卻不觸發Defender偵測警告的漏洞。

這項漏洞影響Windows 10幾個版本。而且研究人員懷疑攻擊者可能至少從2014年就開始利用這漏洞了。

這漏洞源自HKLM\Software\Microsoft\Windows Defender\Exclusions登錄機碼鬆散的安全設定。這機碼包含可免於Defender掃瞄的位置（包括擋案、資料夾、擴充程式或行程）等。

開採漏洞相當容易，因為這個機碼可由「所有人」群組存取。本機使用者（不論權限）可利用指令行來查詢Windows 登錄檔。

安全專家Nathan McNulty也警告，攻擊者也可以根據從儲存群組規則的機碼樹中找出例外清單，這又是更為敏感的資訊，因為也能找出Windows網域下哪些電腦會被跳過不掃瞄。

等手握例外清單後，攻擊者就能在這些資料夾植入惡意程式執行，無需擔心會被Defender偵測並封鎖或刪除。

BleepingComputer也在一次實驗中，成功從一個資料夾中執行Conti勒索軟體，從頭到尾未觸發Defender發出警告訊息。

微軟是在本周的二月份Patch Tuesday悄悄修補這項漏洞。「所有人」群組已經從機碼存取許可名單中移除。而透過Patch Tuesday，這項變更將部署到所有Windows 10電腦中，現在必須具管理員權限才能存取Defender例外清單。

BleepingComputer、SentinelOne研究人員Antonio Cocomazzi及荷蘭研究人員SecGuru_OTX都證實無法再濫用這漏洞。