安全研究人員發現微軟Microsoft Defender存在一項漏洞,能讓攻擊者用來躲避偵測植入惡意程式。安全研究人員相信這漏洞至少去年,甚至8年前就存在。
日前才揭露USB over IP軟體漏洞的SentinelOne研究人員Antonio Cocomazzi,上周再揭露存在Defender防毒產品的漏洞。這是因為防毒產品掃瞄會造成系統效能下降、有時還會誤判而造成運作失常,因此和所有其他防毒軟體一樣,Defender也讓用戶設定系統上的例外位置,使防毒掃瞄略過那些區域。只要找到記錄這些例外位置的清單,攻擊者就能將惡意程式儲存在那些區域,而不會被防毒軟體偵測到。
這就是Defender的漏洞所在。Cocomazzi發現只要在Windows搜尋列中搜尋「HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用戶對Defender設定的例外清單,即使是一般權限用戶也可透過GUI工具找到。此外,在PowerShell cmdlet指令中執行GetMpPreference,也可以存取到這資訊,不過這需要具有管理員權限。
Cocomazzi指出,這項存取控制清單(access control list,ACL)組態存誤漏洞,影響所有版本Windows 10及Windows Server 2019,但不影響Windows 11。研究人員Nathan McNulty證實至少在去年釋出的Windows 21H1及21H2,已經存在這漏洞。
代號SecurityAura的研究人員相信這漏洞至少已經存在8年。Paul Bolton去年5月曾向微軟安全研究中心通報這問題,但後者僅視為產品建議而未有動作。
McNulty指出PowerShell上很早以前即已限制存取權限,但GUI上的漏洞卻未曾解決。他還說,不記得微軟何時曾經強化過登錄檔(registry)的安全性。
媒體測試將勒索軟體樣本儲存在Defender例外清單的資料夾中,Defender果真不會顯示出任何可疑程式的警告。
微軟官方目前尚未做出說明。
網頁設計.RWD響應式網站.活動網站 / 服務類
網站技術:PHP/MySql
配合振興劵而舉辦的抽獎活動,民眾可以透過「活動辦法」快速了解流程與獎品,點選「序號登錄」並確認抽獎資格後就可以等待開獎結果喔。 抽獎結束後若要確認是否有中獎,可以點擊選單的中獎名單來確認。
網頁設計.RWD響應式網站.活動網站.企業形象網站 / 金融保險業
網站技術:PHP . Javascript
響應式(RWD)網頁設計,設計UI/UX使用者體驗,可於各種裝置進行網頁瀏覽(PC、平板、手機)。
網頁設計.RWD響應式網站 / 電子工業類
網站技術:PHP . Javascript/MySql
提供北美、大陸及菲律賓地區的各式照明,以及太陽能建置相關照明燈具服務。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策