安全研究人員發現微軟Microsoft Defender存在一項漏洞,能讓攻擊者用來躲避偵測植入惡意程式。安全研究人員相信這漏洞至少去年,甚至8年前就存在。
日前才揭露USB over IP軟體漏洞的SentinelOne研究人員Antonio Cocomazzi,上周再揭露存在Defender防毒產品的漏洞。這是因為防毒產品掃瞄會造成系統效能下降、有時還會誤判而造成運作失常,因此和所有其他防毒軟體一樣,Defender也讓用戶設定系統上的例外位置,使防毒掃瞄略過那些區域。只要找到記錄這些例外位置的清單,攻擊者就能將惡意程式儲存在那些區域,而不會被防毒軟體偵測到。
這就是Defender的漏洞所在。Cocomazzi發現只要在Windows搜尋列中搜尋「HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用戶對Defender設定的例外清單,即使是一般權限用戶也可透過GUI工具找到。此外,在PowerShell cmdlet指令中執行GetMpPreference,也可以存取到這資訊,不過這需要具有管理員權限。
Cocomazzi指出,這項存取控制清單(access control list,ACL)組態存誤漏洞,影響所有版本Windows 10及Windows Server 2019,但不影響Windows 11。研究人員Nathan McNulty證實至少在去年釋出的Windows 21H1及21H2,已經存在這漏洞。
代號SecurityAura的研究人員相信這漏洞至少已經存在8年。Paul Bolton去年5月曾向微軟安全研究中心通報這問題,但後者僅視為產品建議而未有動作。
McNulty指出PowerShell上很早以前即已限制存取權限,但GUI上的漏洞卻未曾解決。他還說,不記得微軟何時曾經強化過登錄檔(registry)的安全性。
媒體測試將勒索軟體樣本儲存在Defender例外清單的資料夾中,Defender果真不會顯示出任何可疑程式的警告。
微軟官方目前尚未做出說明。
精選專案.網頁設計.RWD響應式網站.行動版網站.企業形象網站 / 電子工業類
網站技術:PHP . Javascript/MySql
全台唯一自有工廠及正式品牌授權 (Samsung、Walsin、PDC、Kamaya)的被動元件代理製造商與經銷商,在半導體供應鏈站有一席之地。
網頁設計.企業形象網站 / 購物網站類
網站技術:PHP . Javascript/MySql
本網站與創價新聞雖然都是有購物車、金流的網站,但是論商品種類還是E購樂比較豐富且選擇性多。E購樂販賣範圍由配件到書籍,甚至是送禮的商品,提供消費者更多的選。
網頁設計 / 教育人文類
網站技術:PHP . Javascript/MySql
本網站有多項種類的期刊與畫冊的訂閱,部分期刊也有提供紙本與電子報。創價訂閱網站有完整的訂閱系統與多元的閱讀管道,不僅可以在電腦上閱讀,也可以在APP上閱讀,APP登入帳號密碼就可以看到自己的訂閱紀錄與期刊。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策