Tehdit aktörleri, Windows’ta Microsoft Defender antivirüsünü etkileyen bir zayıflıktan faydalanarak taramanın dışında bırakılan yerleri öğrenebilir ve kötü amaçlı yazılımları oraya yerleştirebilir.
Bazı kullanıcılara göre sorun en az sekiz yıldır devam ediyor ve Windows 10 21H1 ve Windows 10 21H2’yi etkiliyor.
gevşek izinler
Herhangi bir virüsten koruma çözümü gibi, Microsoft Defender, kullanıcıların sistemlerine kötü amaçlı yazılım taramalarının dışında tutulması gereken konumlar (yerel veya ağ üzerinde) eklemesine olanak tanır.
İnsanlar genellikle, virüsten koruma yazılımının hatalı bir şekilde kötü amaçlı yazılım olarak algılanan meşru uygulamaların işlevselliğini etkilemesini önlemek için dışlamalar yapar.
Tarama istisnaları listesi bir kullanıcıdan diğerine farklılık gösterdiğinden, sistemdeki bir saldırgan için yararlı bilgilerdir, çünkü bu onlara kötü amaçlı dosyaları tespit edilmekten korkmadan depolayabilecekleri konumları verir.
Güvenlik araştırmacıları, Microsoft Defender taramasından hariç tutulan konumların listesinin korumasız olduğunu ve herhangi bir yerel kullanıcının buna erişebileceğini keşfetti.
Yerel kullanıcılar, izinlerinden bağımsız olarak, kayıt defterini sorgulayabilir ve Microsoft Defender’ın kötü amaçlı yazılım veya tehlikeli dosyaları denetlemesine izin verilmeyen yolları öğrenebilir.
SentinelOne tehdit araştırmacısı Antonio Cocomazzi, UzakPatates0 güvenlik açığı, işaret hassas olarak değerlendirilmesi gereken bu bilgiler için herhangi bir koruma bulunmadığını ve “reg sorgusu” komutunu çalıştırmanın, dosyalar, klasörler, uzantılar veya işlemler olsun, Microsoft Defender’ın taramaması talimatı verilen her şeyi ortaya çıkardığını.
Başka bir güvenlik uzmanı, Nathan McNulty, sorunun Windows 10’un 21H1 ve 21H2 sürümlerinde bulunduğunu ancak Windows 11’i etkilemediğini doğruladı.
McNulty ayrıca, Grup İlkesi ayarlarını depolayan girişlerle kayıt ağacından istisnalar listesinin alınabileceğini de doğruladı. Bu bilgiler, birden çok bilgisayar için istisnalar sağladığından daha hassastır.
Microsoft yığınını koruma konusunda deneyimli bir güvenlik mimarı, McNulty uyarıyor Bir sunucudaki Microsoft Defender’ın “belirli roller veya özellikler yüklendiğinde etkinleştirilen otomatik dışlamalara” sahip olduğunu ve bunların özel konumları kapsamadığını.
Bir tehdit aktörünün Microsoft Defender hariç tutmalar listesini almak için yerel erişime ihtiyacı olsa da, bu bir engel olmaktan çok uzaktır. Pek çok saldırgan, güvenliği ihlal edilmiş kurumsal ağlarda, mümkün olduğunca gizlice yanal hareket etmenin bir yolunu arıyor.
Halihazırda bir Windows makinesini tehlikeye atan bir tehdit aktörü, Microsoft Defender istisnalarının listesini bilerek, tespit edilme korkusu olmadan hariç tutulan klasörlerdeki kötü amaçlı yazılımları depolayabilir ve çalıştırabilir.
BleepingComputer tarafından yapılan testlerde, hariç tutulan bir klasörden yürütülen bir kötü amaçlı yazılım türü, Windows sisteminde engellenmeden çalıştı ve Microsoft Defender’dan herhangi bir uyarı tetiklemedi.
Bir Conti fidye yazılımı örneği kullandık ve normal bir konumdan çalıştırıldığında Microsoft Defender devreye girdi ve kötü amaçlı yazılımı engelledi.
Conti kötü amaçlı yazılımını dışlanan bir klasöre yerleştirdikten ve oradan çalıştırdıktan sonra, Microsoft Defender herhangi bir uyarı göstermedi ve herhangi bir işlem yapmadı, fidye yazılımının makineyi şifrelemesine izin verdi.
Bu Microsoft Defender zayıflığı yeni değil ve geçmişte Paul Bolton tarafından herkesin önünde vurgulanmıştı:
Kıdemli bir güvenlik danışmanı, sorunu yaklaşık sekiz yıl önce fark ettim ve bir kötü amaçlı yazılım geliştiricisine sağladığı avantajı fark etti.
“Kendime her zaman, bir tür kötü amaçlı yazılım geliştiricisi olsaydım, sadece WD hariç tutmalarını arardım ve yükümü hariç tutulan bir klasöre bıraktığımdan ve/veya hariç tutulan bir dosya adı veya uzantıyla aynı şekilde adlandırdığımdan emin olurdum” – aura
Aradan bu kadar uzun zaman geçtiği ve Microsoft’un sorunu henüz çözmediği göz önüne alındığında, ağ yöneticileri Microsoft Defender’ı doğru şekilde yapılandırmak için belgelere başvurmalıdır. sunucularda istisnalar ve yerel makineler grup politikaları aracılığıyla