摘要:
微软近日悄悄修补了端点安全产品Microsoft Defender一个能让黑客绕过安全侦测的漏洞。... 
微软近日悄悄修补了端点安全产品Microsoft Defender一个能让黑客绕过安全侦测的漏洞。
上个月SentinelOne研究人员Antonio Cocomazzi揭露 Defender防毒产品中的访问控制列表(access control list,ACL)配置存取漏洞。 Cocomazzi发现只要在Windows搜寻列中搜寻「HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」,可以找到用户对Defender设定、 可略过扫描的文件夹清单,即使是一般权限用户也可通过GUI工具找到。 此外,具有管理员权限的用户还可在PowerShell cmdlet指令中执行GetMpPreference访问到这信息。
找到这些例外列表上的文件夹,攻击者就可以将恶意档案储存在这些地方,之后执行也不会触发Defender的安全警告。 BleepingComputer则成功测试可在电脑上暗中植入并执行Conti勒索软件。
这项漏洞影响所有版本Windows 10及Windows Server 2019,但不影响Windows 11。 研究人员Nathan McNulty证实至少在去年释出的Windows 21H1及21H2,已经存在这漏洞,但可能追溯到8年前。
本月初代号SecGuru的荷兰资安专家发现,Defender已经变更存取例外清单的权限为管理员,而不再是所有人。 必须输入管理员密码才能存取Defender的「病毒与威胁」控制台下的「例外」清单。 Cocomazzi也证实这点。
安全专家Andy Dormann分析微软并非通过Microsoft Update或Defender签章更新,而是通过Defender的情报更新(intelligence update)、修改控制机码访问许可的MsMpEng.exe执行文件而成。
正规流量卡免费办理,长按二维码进入
