Ξεχάστε ότι λέγαμε πριν…. Hackers εκμεταλλεύονται μια αδυναμία που επηρεάζει την εφαρμογή Microsoft Defender στα Windows για να μάθουν τοποθεσίες που δεν σαρώνονται για να εγκαταστήσουν εκεί κακόβουλο λογισμικό.
Η ευπάθεια υπάρχει για τουλάχιστον οκτώ χρόνια, σύμφωνα με ορισμένους χρήστες, και επηρεάζει τα Windows 10 από την έκδοση 21H1 μέχρι την 21H2.
Όπως κάθε εφαρμογή προστασίας, το Microsoft Defender επιτρέπει στους χρήστες να προσθέτουν τοποθεσίες (τοπικές ή στο δίκτυο) στα συστήματά τους που θέλουν να εξαιρεθούν από σαρώσεις κακόβουλου λογισμικού.
Έτσι υπάρχουν πολλοί που προσθέτουν εξαιρέσεις στα antivirus που διευκολύνουν την λειτουργία άλλων εφαρμογών που εντοπίζονται εσφαλμένα σαν κακόβουλο λογισμικό.
Βέβαια η λίστα των εξαιρέσεων σάρωσης διαφέρει από τον ένα χρήστη στον άλλο, Οι πληροφορίες αυτές είναι πολύ χρήσιμες για κάποιον εισβολέα, καθώς γνωρίζει που μπορεί να αποθηκεύσει το κακόβουλο λογισμικό για μην εντοπιστεί.
Οι ερευνητές ασφαλείας λοιπόν ανακάλυψαν ότι η λίστα των τοποθεσιών που εξαιρούνται από τη σάρωση του Microsoft Defender δεν είναι προστατευμένη και οποιοσδήποτε τοπικός χρήστης μπορεί να έχει πρόσβαση σε αυτήν.
Οι τοπικοί χρήστες μπορούν να κάνουν ερωτήσεις στο μητρώο και να μάθουν τις διαδρομές που δεν επιτρέπεται να ελέγχει το Microsoft Defender για κακόβουλο λογισμικό ή επικίνδυνα αρχεία ,και μάλιστα δεν χρειάζονται δικαιώματα διαχειριστή.
Ο Antonio Cocomazzi, ένας ερευνητής ασφαλείας της SentinelOne, αναφέρει στο Βleepingcomputer. ότι δεν υπάρχει προστασία για αυτές τις πληροφορίες, οι οποίες πρέπει να θεωρούνται ευαίσθητες, και ότι η εκτέλεση της εντολής “reg query” αποκαλύπτει όλες τις οδηγίες που έχει λάβει η εφαρμογή Microsoft Defender, για σάρωση αρχείων, φακέλων, επεκτάσεων ή διεργασιών.
Windows Defender AV allows Everyone to read the configured exclusions on the system 🤦
reg query "HKLMSOFTWAREMicrosoftWindows DefenderExclusions" /s pic.twitter.com/dpTFwMVRje
— Antonio Cocomazzi (@splinter_code) January 12, 2022
Ένας άλλος ερευνητής, ο Nathan McNulty, επιβεβαίωσε ότι το πρόβλημα υπάρχει στις εκδόσεις 21H1 και 21H2 των Windows 10, αλλά δεν επηρεάζει τα Windows 11.
Finally, for those configuring Defender AV on servers, be aware that there are automatic exclusions that get enabled when specific roles or features are installed
They do not cover non-default install locations, and you should review the list here:https://t.co/StYXMmfs8T
— Nathan McNulty (@NathanMcNulty) January 12, 2022
Ο McNulty επιβεβαίωσε επίσης ότι μπορεί κανείς να αποκτήσει τη λίστα των εξαιρέσεων από το μητρώο με καταχωρήσεις που αποθηκεύουν τις ρυθμίσεις πολιτικής ομάδας. Αυτές οι πληροφορίες είναι πολύ ευαίσθητες καθώς παρέχουν εξαιρέσεις για πολλούς υπολογιστές.
