微軟近日悄悄修補了端點安全產品Microsoft Defender一個能讓駭客繞過安全偵測的漏洞。

上個月SentinelOne研究人員Antonio Cocomazzi揭露Defender防毒產品中的存取控制清單(access control list,ACL)組態存取漏洞。Cocomazzi發現只要在Windows搜尋列中搜尋「HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」,可以找到用戶對Defender設定、可略過掃瞄的資料夾清單,即使是一般權限用戶也可透過GUI工具找到。此外,具有管理員權限的用戶還可在PowerShell cmdlet指令中執行GetMpPreference存取到這資訊。

找到這些例外清單上的資料夾,攻擊者就可以將惡意檔案儲存在這些地方,之後執行也不會觸發Defender的安全警告。BleepingComputer則成功測試可在電腦上暗中植入並執行Conti勒索軟體。

這項漏洞影響所有版本Windows 10及Windows Server 2019,但不影響Windows 11。研究人員Nathan McNulty證實至少在去年釋出的Windows 21H1及21H2,已經存在這漏洞,但可能追溯到8年前。

本月初代號SecGuru的荷蘭資安專家發現,Defender已經變更存取例外清單的權限為管理員,而不再是所有人。必須輸入管理員密碼才能存取Defender的「病毒與威脅」控制臺下的「例外」清單。Cocomazzi也證實這點

安全專家Andy Dormann分析微軟並非透過Microsoft Update或Defender簽章更新,而是透過Defender的情報更新(intelligence update)、修改控制機碼存取許可的MsMpEng.exe執行檔而成。

熱門新聞

Advertisement