Η Microsoft διόρθωσε πρόσφατα ένα σφάλμα του Microsoft Defender Antivirus που επέτρεπε σε κακόβουλους χρήστες να “φυτεύουν” και να εκτελούν κακόβουλα payloads, χωρίς να ενεργοποιείται η μηχανή ανίχνευσης malware του Defender. Με λίγα λόγια, το σφάλμα εμπόδιζε τον εντοπισμό malware.
Αυτό το σφάλμα επηρέασε τις πιο πρόσφατες εκδόσεις των Windows 10 και οι επιτιθέμενοι θα μπορούσαν να το χρησιμοποιούν τουλάχιστον από το 2014.
See also: Το Microsoft Defender Preview είναι διαθέσιμο για Windows και Android
Such as έχουμε αναφέρει προηγουμένως, το Microsoft Defender επιτρέπει στους χρήστες να προσθέτουν τοποθεσίες (τοπικά ή στο δίκτυο) στα συστήματά τους που εξαιρούνται από σαρώσεις κακόβουλου λογισμικού. Οι χρήστες συνήθως επιλέγουν να εξαιρέσουν κάποια στοιχεία από σάρωση, για να μην επηρεάζεται η λειτουργικότητα των νόμιμων εφαρμογών, αφού μερικές φορές το antivirus μπορεί να τις εντοπίσει εσφαλμένα ως κακόβουλο λογισμικό.
Αυτό σημαίνει ότι ορισμένες εφαρμογές δεν σαρώνονται και άρα δεν έχουν καμιά προστασία. Αν ένας κακόβουλος χρήστης μάθει ποιες είναι αυτές οι εφαρμογές που δεν προστατεύονται, μπορεί να τις μολύνει με malware, χωρίς να τις εντοπίσει το Microsoft Defender.
Ερευνητές ασφαλείας ανακάλυψαν ότι η λίστα των τοποθεσιών που εξαιρούνται από τη σάρωση του Microsoft Defender, δεν είναι προστατευμένη και οποιοσδήποτε τοπικός χρήστης μπορεί να έχει πρόσβαση σε αυτήν.
Η εκμετάλλευση του σφάλματος ήταν δυνατή επειδή το Registry key ήταν προσβάσιμο από το ‘Everyone’ group, όπως φαίνεται στην παρακάτω εικόνα.
Ανεξάρτητα από τις άδειές τους, οι τοπικοί χρήστες μπορούσαν να κάνουν query στο registry και να μάθουν τα paths που δεν επιτρέπεται να ελέγχει το Microsoft Defender.
See also: Microsoft: how does it plan to limit malware distribution via Office documents?
Από τη στιγμή που οι επιτιθέμενοι μπορούσαν να μάθουν ποια στοιχεία δεν προστατεύονται, μπορούσαν και να παραδώσουν και να εκτελέσουν malware από έναν αποκλεισμένο φάκελο σε ένα παραβιασμένο σύστημα Windows, χωρίς να χρειάζεται να φοβούνται ότι το κακόβουλο payload θα εντοπιστεί και θα εξουδετερωθεί από το Microsoft Defender.
Σύμφωνα με το BleepingComputer, θα μπορούσε κάποιος να εκμεταλλευτεί αυτή την vulnerability για να εκτελέσει ένα δείγμα ransomware και να κρυπτογραφήσει ένα σύστημα Windows χωρίς προειδοποιήσεις ή σημάδια ανίχνευσης από το Microsoft Defender.
Microsoft αντιμετωπίζει το ζήτημα ασφαλείας
Σύμφωνα με τον Ολλανδό ειδικό ασφαλείας SecGuru_OTX, η Microsoft έχει τώρα διορθώσει την ευπάθεια μέσω μιας ενημέρωσης.
Ο ερευνητής απειλών της SentinelOne, Antonio Cocomazzi, επιβεβαίωσε ότι το σφάλμα δεν μπορεί πλέον να χρησιμοποιηθεί σε συστήματα Windows 10 20H2 μετά την εγκατάσταση του February 2022 Patch Tuesday.
Learn more: Patch Tuesday Φεβρουαρίου 2022: Η Microsoft διορθώνει 48 ευπάθειες
Ορισμένοι χρήστες βλέπουν τη νέα αλλαγή perimissions μετά την εγκατάσταση των February 2022 Patch Tuesday Windows cumulative updates.
Από την άλλη πλευρά, ο Will Dormann, αναλυτής ευπάθειας για το CERT/CC, σημείωσε ότι έλαβε την αλλαγή αδειών χωρίς να εγκαταστήσει ενημερώσεις, υποδεικνύοντας ότι η αλλαγή θα μπορούσε να προστεθεί τόσο από ενημερώσεις των Windows όσο και από Microsoft Defender security intelligence updates.
Όπως το BleepingComputer μπόρεσε επίσης να επιβεβαιώσει, τα δικαιώματα των σύνθετων ρυθμίσεων ασφαλείας των Windows για τις εξαιρέσεις του Defender έχουν πράγματι ενημερωθεί, με την ομάδα ‘Everyone’ να έχει αφαιρεθεί από τα δικαιώματα του Registry key.
Σε συστήματα Windows 10, όπου αυτή η αλλαγή έχει ήδη κυκλοφορήσει, οι χρήστες πρέπει πλέον να έχουν administrator rights για να μπορούν να έχουν πρόσβαση στη λίστα με τις εφαρμογές που αποκλείονται από τη σάρωση του Microsoft Defender.
Source: Bleeping Computer
