微软修补了让黑客绕过Defender扫描的漏洞

微软近日悄悄修补了端点安全产品Microsoft Defender一个能让黑客绕过安全侦测的漏洞。

上个月SentinelOne研究人员Antonio Cocomazzi披露Defender杀毒产品中的访问控制清单(access control list,ACL)组态访问漏洞。Cocomazzi发现只要在Windows搜索框中搜索“HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions”及“HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions”,可以找到用户对Defender设置、可略过扫描的文件夹清单,即使是一般权限用户也可通过GUI工具找到。此外,具有管理员权限的用户还可在PowerShell cmdlet指令中执行GetMpPreference访问到这信息。

找到这些例外清单上的文件夹,攻击者就可以将恶意文件存储在这些地方,之后执行也不会触发Defender的安全警告。BleepingComputer则成功测试可在计算机上暗中植入并执行Conti勒索软件。

这项漏洞影响所有版本Windows 10及Windows Server 2019,但不影响Windows 11。研究人员Nathan McNulty证实至少在去年发布的Windows 21H1及21H2,已经存在这漏洞,但可能追溯到8年前。

本月初代号SecGuru的荷兰安全专家发现,Defender已经变更访问例外清单的权限为管理员,而不再是所有人。必须输入管理员密码才能访问Defender的“病毒与威胁”控制台下的“例外”清单。Cocomazzi也证实这点。

安全专家Andy Dormann分析微软并非通过Microsoft Update或Defender签章更新,而是通过Defender的情报更新(intelligence update)、修改控制机码访问许可的MsMpEng.exe执行文件而成。