导 读
研究人员发现Microsoft Defender(微软卫士)例外清单的搜寻管道可以让攻击者将恶意程序储存在这些区域内,以躲避防毒软件检测。据安全人员称,这些漏洞至少去年,甚至8年前就存在。
具 体 内 容
日前,才揭露USB over IP软件漏洞的SentinelOne(反病毒预警软件开发商)研究人员Antonio Cocomazzi,上周再揭露存在Defender防毒产品的漏洞。这是因为防毒产品扫瞄会造成系统效能下降、有时还会误判而造成运作失常。因此,和所有其他防毒软件一样,Defender也能让用户设定系统上的例外位置,使防毒扫瞄略过那些区域。只要找到记录这些例外位置的清单,攻击者就能将恶意程式储存在那些区域,而不会被防毒软件检测到。
这就是Defender的漏洞所在。Cocomazzi发现只要在Windows中搜索「HKLMSOFTWAREMicrosoftWindowsDefenderExclusions」及「HKLMSOFTWAREPoliciesMicrosoftWindows DefenderExclusions」可以找到用户对Defender设定的例外清单,即使是一般权限用户也可透过GUI工具找到。此外,在PowerShell cmdlet指令中执行GetMpPreference,也可以存取到这资讯,不过这需要具有管理员权限。
Cocomazzi指出,这项存取控制清单(access control list,ACL)组态错误漏洞,影响所有版本Windows 10及Windows Server 2019,但不影响Windows 11。研究人员Nathan McNulty证实至少在去年释出的Windows 21H1及21H2,已经存在这漏洞。
代号SecurityAura的研究人员相信这漏洞至少已经存在8年。Paul Bolton去年5月曾向微软安全研究中心通报这问题,但后者仅视为产品建议而未有动作。
McNulty指出PowerShell上很早以前即已限制存取权限,但GUI上的漏洞却未曾解决。他还说,不记得微软何时曾经强化过登录档(registry)的安全性。
媒体测试将勒索软体样本储存在Defender例外清单的资料夹中,Defender果真不会显示出任何可疑程式的警告。
目前,微软官方尚未做出说明。
注:本文由E安全编译报道。