微軟修補了讓駭客繞過Defender掃瞄的漏洞

微軟近日悄悄修補了端點安全產品Microsoft Defender一個能讓駭客繞過安全偵測的漏洞。

上個月SentinelOne研究人員Antonio Cocomazzi揭露Defender防毒產品中的存取控制清單（access control list，ACL）組態存取漏洞。Cocomazzi發現只要在Windows搜尋列中搜尋「HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」，可以找到用戶對Defender設定、可略過掃瞄的資料夾清單，即使是一般權限用戶也可透過GUI工具找到。此外，具有管理員權限的用戶還可在PowerShell cmdlet指令中執行GetMpPreference存取到這資訊。

找到這些例外清單上的資料夾，攻擊者就可以將惡意檔案儲存在這些地方，之後執行也不會觸發Defender的安全警告。BleepingComputer則成功測試可在電腦上暗中植入並執行Conti勒索軟體。

這項漏洞影響所有版本Windows 10及Windows Server 2019，但不影響Windows 11。研究人員Nathan McNulty證實至少在去年釋出的Windows 21H1及21H2，已經存在這漏洞，但可能追溯到8年前。

本月初代號SecGuru的荷蘭資安專家發現，Defender已經變更存取例外清單的權限為管理員，而不再是所有人。必須輸入管理員密碼才能存取Defender的「病毒與威脅」控制臺下的「例外」清單。Cocomazzi也證實這點。

安全專家Andy Dormann分析微軟並非透過Microsoft Update或Defender簽章更新，而是透過Defender的情報更新（intelligence update）、修改控制機碼存取許可的MsMpEng.exe執行檔而成。