Cyberprzestępcy mogą wykorzystywać słabość programu antywirusowego Microsoft Defender w systemie Windows, aby poznać lokalizacje wykluczone ze skanowania i umieścić tam złośliwe oprogramowanie - pozwala to na uruchamianie złośliwego kodu, bez żadnej reakcji ze strony zabezpieczeń.
Microsoft Defender, domyślny pakiet zabezpieczeń w obecnych systemach Windows, pozwala użytkownikom wskazywać lokalne lub sieciowe lokalizacje, które będą wykluczone ze skanowania w poszukiwaniu złośliwego oprogramowania. Choć domyślnie żadna z takich lokalizacji nie jest ustawiona, to użytkownicy, bądź administratorzy systemów muszą wskazywać wykluczone ze skanowania foldery, by przykładowo zapobiec usuwaniu bezpiecznych aplikacji, które są błędnie wykrywane przez antywirusa, jako niebezpieczne. Lista takich folderów i aplikacji wykluczonych ze skanowania nigdzie nie jest taka sama, więc lista wyjątków to pożądana wiadomość dla hakera, bo daje mu to możliwość umieszczenia w takim miejscu swojego kodu. Okazuje się, że taką listę lokalizacji można dość łatwo pozyskać.
Cyberprzestępcy mogą łatwo poznać listę wykluczonych ze skanowania przez Windows Defender lokalizacji i tam umieszczać złośliwe aplikacje, unikając w ten sposób wykrycia. Każdy użytkownik lokalny może uzyskać taką listę wysyłając zapytanie do rejestru z wpisami przechowującymi ustawienia zasad grupy.
Badacze bezpieczeństwa odkryli, że lista lokalizacji wykluczonych ze skanowania w programie Microsoft Defender nie jest w żaden sposób chroniona i każdy użytkownik może uzyskać do niej dostęp. Niezależnie od uprawnień, użytkownicy mogą wysyłać zapytania do rejestru i poznawać ścieżki, których program Microsoft Defender nie może sprawdzać pod kątem złośliwego oprogramowania lub niebezpiecznych plików.
Zwykłe zapytanie pozwala pobrać listę wykluczeń z drzewa rejestru z wpisami przechowującymi ustawienia zasad grupy. Ta informacja jest bardziej wrażliwa, ponieważ zapewnia wykluczenia dla wielu komputerów. Problem występuje w systemie Windows 10 w wersjach 21H1 i 21H2, ale nie dotyczy systemu Windows 11. Chociaż atakujący potrzebuje dostępu do lokalnej maszyny, aby uzyskać listę wykluczeń usługi Microsoft Defender, nie jest to przeszkodą. Wielu hakerów już znajduje się w zinfiltrowanych sieciach firmowych, szukając sposobu na poruszanie się bez wykrycia, a taka luka daje idealną okazję.
Znając listę wykluczeń programu Microsoft Defender, cyberprzestępca, który już zhakował komputer z systemem Windows, może przechowywać i uruchamiać złośliwe oprogramowanie z wykluczonych folderów bez obawy, że zostanie zauważony. Problem ten istnieje od 8 lat, jednak dopiero teraz został nagłośniony. Możliwe, że cyberprzestępcy korzystają z luki od dawna.
Pokaż / Dodaj komentarze do: Absurdalny błąd w Microsoft Defender pozwala umieszczać złośliwy kod bez ryzyka wykrycia