ΑρχικήUpdatesMicrosoft: Διορθώνει σφάλμα στο Defender που επιτρέπει παράκαμψη των σαρώσεων για malware

Microsoft: Διορθώνει σφάλμα στο Defender που επιτρέπει παράκαμψη των σαρώσεων για malware

Η Microsoft διόρθωσε πρόσφατα ένα σφάλμα του Microsoft Defender Antivirus που επέτρεπε σε κακόβουλους χρήστες να “φυτεύουν” και να εκτελούν κακόβουλα payloads, χωρίς να ενεργοποιείται η μηχανή ανίχνευσης malware του Defender. Με λίγα λόγια, το σφάλμα εμπόδιζε τον εντοπισμό malware.

Αυτό το σφάλμα επηρέασε τις πιο πρόσφατες εκδόσεις των Windows 10 και οι επιτιθέμενοι θα μπορούσαν να το χρησιμοποιούν τουλάχιστον από το 2014.

Δείτε επίσης: Το Microsoft Defender Preview είναι διαθέσιμο για Windows και Android

Microsoft Defender malware

Όπως έχουμε αναφέρει προηγουμένως, το Microsoft Defender επιτρέπει στους χρήστες να προσθέτουν τοποθεσίες (τοπικά ή στο δίκτυο) στα συστήματά τους που εξαιρούνται από σαρώσεις κακόβουλου λογισμικού. Οι χρήστες συνήθως επιλέγουν να εξαιρέσουν κάποια στοιχεία από σάρωση, για να μην επηρεάζεται η λειτουργικότητα των νόμιμων εφαρμογών, αφού μερικές φορές το antivirus μπορεί να τις εντοπίσει εσφαλμένα ως κακόβουλο λογισμικό.

James Webb: Ανακάλυψε μία από τις αρχαιότερες σουπερνόβα

SecNewsTV 17 Ιανουαρίου 2025, 20:12 20:12

Αυτό σημαίνει ότι ορισμένες εφαρμογές δεν σαρώνονται και άρα δεν έχουν καμιά προστασία. Αν ένας κακόβουλος χρήστης μάθει ποιες είναι αυτές οι εφαρμογές που δεν προστατεύονται, μπορεί να τις μολύνει με malware, χωρίς να τις εντοπίσει το Microsoft Defender.

Ερευνητές ασφαλείας ανακάλυψαν ότι η λίστα των τοποθεσιών που εξαιρούνται από τη σάρωση του Microsoft Defender, δεν είναι προστατευμένη και οποιοσδήποτε τοπικός χρήστης μπορεί να έχει πρόσβαση σε αυτήν.

Η εκμετάλλευση του σφάλματος ήταν δυνατή επειδή το Registry key ήταν προσβάσιμο από το ‘Everyone’ group, όπως φαίνεται στην παρακάτω εικόνα.

Ανεξάρτητα από τις άδειές τους, οι τοπικοί χρήστες μπορούσαν να κάνουν query στο registry και να μάθουν τα paths που δεν επιτρέπεται να ελέγχει το Microsoft Defender.

Δείτε επίσης: Microsoft: Πώς σχεδιάζει να περιορίσει τη διανομή malware μέσω εγγράφων του Office;

Από τη στιγμή που οι επιτιθέμενοι μπορούσαν να μάθουν ποια στοιχεία δεν προστατεύονται, μπορούσαν και να παραδώσουν και να εκτελέσουν malware από έναν αποκλεισμένο φάκελο σε ένα παραβιασμένο σύστημα Windows, χωρίς να χρειάζεται να φοβούνται ότι το κακόβουλο payload θα εντοπιστεί και θα εξουδετερωθεί από το Microsoft Defender.

Σύμφωνα με το BleepingComputer, θα μπορούσε κάποιος να εκμεταλλευτεί αυτή την ευπάθεια για να εκτελέσει ένα δείγμα ransomware και να κρυπτογραφήσει ένα σύστημα Windows χωρίς προειδοποιήσεις ή σημάδια ανίχνευσης από το Microsoft Defender.

σφάλμα

Microsoft αντιμετωπίζει το ζήτημα ασφαλείας

Σύμφωνα με τον Ολλανδό ειδικό ασφαλείας SecGuru_OTX, η Microsoft έχει τώρα διορθώσει την ευπάθεια μέσω μιας ενημέρωσης.

Ο ερευνητής απειλών της SentinelOne, Antonio Cocomazzi, επιβεβαίωσε ότι το σφάλμα δεν μπορεί πλέον να χρησιμοποιηθεί σε συστήματα Windows 10 20H2 μετά την εγκατάσταση του February 2022 Patch Tuesday.

Μάθετε περισσότερα: Patch Tuesday Φεβρουαρίου 2022: Η Microsoft διορθώνει 48 ευπάθειες

Ορισμένοι χρήστες βλέπουν τη νέα αλλαγή perimissions μετά την εγκατάσταση των February 2022 Patch Tuesday Windows cumulative updates.

Από την άλλη πλευρά, ο Will Dormann, αναλυτής ευπάθειας για το CERT/CC, σημείωσε ότι έλαβε την αλλαγή αδειών χωρίς να εγκαταστήσει ενημερώσεις, υποδεικνύοντας ότι η αλλαγή θα μπορούσε να προστεθεί τόσο από ενημερώσεις των Windows όσο και από Microsoft Defender security intelligence updates.

Όπως το BleepingComputer μπόρεσε επίσης να επιβεβαιώσει, τα δικαιώματα των σύνθετων ρυθμίσεων ασφαλείας των Windows για τις εξαιρέσεις του Defender έχουν πράγματι ενημερωθεί, με την ομάδα ‘Everyone’ να έχει αφαιρεθεί από τα δικαιώματα του Registry key.

Σε συστήματα Windows 10, όπου αυτή η αλλαγή έχει ήδη κυκλοφορήσει, οι χρήστες πρέπει πλέον να έχουν δικαιώματα διαχειριστή για να μπορούν να έχουν πρόσβαση στη λίστα με τις εφαρμογές που αποκλείονται από τη σάρωση του Microsoft Defender.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS