作者bajiqa (多尔)
看板AntiVirus
标题Microsoft Defender漏洞让恶意程式得以躲避侦测
时间Mon Jan 17 12:57:37 2022
Microsoft Defender漏洞让恶意程式得以躲避侦测,至少存在1年
来源:
https://www.ithome.com.tw/news/148905
安全研究人员发现微软Microsoft Defender存在一项漏洞,能让攻击者用来躲避侦测植入
恶意程式。安全研究人员相信这漏洞至少去年,甚至8年前就存在。
日前才揭露USB over IP软体漏洞的SentinelOne研究人员Antonio Cocomazzi,上周再揭
露存在Defender防毒产品的漏洞。这是因为防毒产品扫瞄会造成系统效能下降、有时还会
误判而造成运作失常,因此和所有其他防毒软体一样,Defender也让用户设定系统上的例
外位置,使防毒扫瞄略过那些区域。只要找到记录这些例外位置的清单,攻击者就能将恶
意程式储存在那些区域,而不会被防毒软体侦测到。
这就是Defender的漏洞所在。Cocomazzi发现只要在Windows搜寻列中搜寻「
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用户对
Defender设定的例外清单,即使是一般权限用户也可透过GUI工具找到。此外,在
PowerShell cmdlet指令中执行GetMpPreference,也可以存取到这资讯,不过这需要具有
管理员权限。
Cocomazzi指出,这项存取控制清单(access control list,ACL)组态存误漏洞,影响
所有版本Windows 10及Windows Server 2019,但不影响Windows 11。研究人员Nathan
McNulty证实至少在去年释出的Windows 21H1及21H2,已经存在这漏洞。
代号SecurityAura的研究人员相信这漏洞至少已经存在8年。Paul Bolton去年5月曾向微
软安全研究中心通报这问题,但後者仅视为产品建议而未有动作。
McNulty指出PowerShell上很早以前即已限制存取权限,但GUI上的漏洞却未曾解决。他还
说,不记得微软何时曾经强化过登录档(registry)的安全性。
媒体测试将勒索软体样本储存在Defender例外清单的资料夹中,Defender果真不会显示出
任何可疑程式的警告。
微软官方目前尚未做出说明。
-------
就多注意一点吧!
--
大方广佛华严经:
若人欲了知,三世一切佛。
应观法界性,一切唯心造。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.171.2.15 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1642395463.A.DEA.html
1F:→ ashs92223: 防毒只用defender的人多吗? 01/17 14:38
2F:→ bajiqa: 不晓得,有的人会说有内建的就够了 01/17 15:19
3F:推 allen65535: 电脑效能不太好的,我就会建议他用defender就好啊 XD 01/17 15:40
4F:推 ltytw: 把病毒放进例外还会让防毒叫有病毒 那我用防毒干嘛? 01/17 20:42
5F:→ ltytw: 这个媒体应该建议微软把这个清单加密就好 01/17 20:42
6F:→ fish0112: ? 例外清单不就是 就算有问题我也要执行 才叫例外呀? 01/17 20:45
7F:推 kobebbs: 楼下推 2022还有人在用防毒软体、内建的就够了 01/18 00:28
8F:推 robinsonXD: 例外清单很好用阿 不然OO软体无法下载 01/18 10:15
9F:→ nolineageno: 其他厂防毒出包的时候,内建仔就会自己出来秀优越了 01/18 14:53
10F:推 MengXian: 放到例外不就是要继续让它执行的意思吗? 01/19 12:35
11F:→ fly9588: 自己资安概念不好被搞爆牵拖内建防毒干嘛?笑死 01/26 11:12
12F:推 minamibaby: 其实现在要买防毒的都会被笑 大家都会说内建的就好 01/26 23:56
13F:→ guteres: Defender 在AV-Test排名已在前段班了 02/03 10:47