Microsoft исправляет недостаток Defender, позволяющий хакерам обходить антивирусные сканирования

Microsoft исправляет недостаток Defender, позволяющий хакерам обходить антивирусные сканирования

Компания Microsoft недавно устранила недостаток в антивирусе Microsoft Defender для Windows, который позволял злоумышленникам закладывать и выполнять вредоносные полезные нагрузки без срабатывания механизма обнаружения вредоносных программ Defender.

Этот недостаток безопасности затрагивал последние версии Windows 10, и злоумышленники могли им воспользоваться как минимум с 2014 года.

Как ранее сообщал сайт, дефект возник из-за слабых настроек безопасности для ключа реестра «HKLM\Software\Microsoft\Windows Defender\Exclusions». Этот ключ содержит список мест (файлов, папок, расширений или процессов), исключенных из сканирования Microsoft Defender.

Использование слабой стороны было возможно, поскольку ключ реестра был доступен группе ‘Everyone’.

Это позволило локальным пользователям (независимо от их прав доступа) получить доступ к нему через командную строку путем запроса реестра Windows.

Эксперт по безопасности Натан Макналти также предупредил, что пользователи также могут получить список исключений из дерева реестра с записями, хранящими параметры групповой политики, что является гораздо более конфиденциальной информацией, поскольку обеспечивает исключения для нескольких компьютеров в домене Windows.

Узнав, какие папки были добавлены в список исключений антивируса, злоумышленники могли доставить и запустить вредоносное ПО из исключенной папки на взломанной системе Windows, не опасаясь, что его вредоносная полезная нагрузка будет обнаружена и обезврежена.

Используя эту слабость, компания смогла запустить образец программы Conti ransomware из исключенной папки и зашифровать систему Windows без каких-либо предупреждений или признаков обнаружения со стороны Microsoft Defender.

Слабость в системе безопасности устраняется Microsoft втихую

Теперь это невозможно, поскольку Microsoft устранила недостаток с помощью тихого обновления, как заметил голландский эксперт по безопасности SecGuru_OTX в четверг.

Исследователь угроз SentinelOne Антонио Кокомацци подтвердил, что недостаток больше не может быть использован на системах Windows 10 20H2 после установки февральских обновлений Windows 2022 Patch Tuesday.

Некоторые пользователи наблюдают изменение разрешения после установки накопительных обновлений Windows Patch Tuesday от февраля 2022 года.

С другой стороны, Уилл Дорманн, аналитик по уязвимостям из CERT/CC, отметил, что получил изменение разрешений без установки каких-либо обновлений, что указывает на то, что изменение могло быть добавлено как обновлениями Windows, так и обновлениями Microsoft Defender security intelligence.

Как удалось сегодня подтвердить, разрешения в расширенных параметрах безопасности Windows для исключений Defender действительно были обновлены, при этом группа ‘Everyone’ была удалена из разрешений ключа реестра.

В системах Windows 10, где это изменение уже внедрено, пользователи теперь должны обладать правами администратора, чтобы иметь доступ к списку исключений через командную строку или при добавлении их с помощью экрана настроек безопасности Windows.

Это изменение появилось после нашего предыдущего отчета, но на данный момент только Microsoft знает, как оно было распространено на затронутые системы Windows 10 (через обновления Windows, интеллектуальные обновления Defender или другими способами).

Последнее обновление 11.02.2022