安全研究人员发现微软Microsoft Defender存在一项漏洞,能让攻击者用来躲避侦测植入恶意程序。安全研究人员相信这漏洞至少去年,甚至8年前就存在。
日前才披露USB over IP软件漏洞的SentinelOne研究人员Antonio Cocomazzi,上周再披露存在Defender杀毒产品的漏洞。这是因为杀毒产品扫描会造成系统性能下降、有时还会误判而造成运行失常,因此和所有其他杀毒软件一样,Defender也让用户设置系统上的例外位置,使杀毒扫描略过那些区域。只要找到记录这些例外位置的清单,攻击者就能将恶意程序存储在那些区域,而不会被杀毒软件侦测到。
这就是Defender的漏洞所在。Cocomazzi发现只要在Windows搜索框中搜索“HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions”及“HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions”可以找到用户对Defender设置的例外清单,即使是一般权限用户也可通过GUI工具找到。此外,在PowerShell cmdlet指令中执行GetMpPreference,也可以访问到这信息,不过这需要具有管理员权限。
图片来源_Antonio Cocomazzi
Cocomazzi指出,这项访问控制清单(access control list,ACL)组态存误漏洞,影响所有版本Windows 10及Windows Server 2019,但不影响Windows 11。研究人员Nathan McNulty证实至少在去年发布的Windows 21H1及21H2,已经存在这漏洞。
代号SecurityAura的研究人员相信这漏洞至少已经存在8年。Paul Bolton去年5月曾向微软安全研究中心通报这问题,但后者仅视为产品建议而没有动作。
McNulty指出PowerShell上很早以前即已限制访问权限,但GUI上的漏洞却未曾解决。他还说,不记得微软何时曾经强化过注册表(registry)的安全性。
媒体测试将勒索软件样本存储在Defender例外清单的文件夹中,Defender果真不会显示出任何可疑程序的警告。
微软官方目前尚未做出说明。