已发现Microsoft Defender中的一个老漏洞,该漏洞可能允许任何病毒或恶意软件株在Windows操作系统上运行而不被发现。
该漏洞在理论上非常简单,主要是在不允许 Microsoft Defender 窥视的地方植入恶意软件。某些程序会触发误报警报,因此需要从扫描中排除。Defender 用户执行此操作的一种方法是在本地或网络上添加某些从扫描中排除的位置。
但是,恶意行为者可以相对轻松地了解这些位置。据 SentinelOne 的网络安全研究员 Antonio Cocomazzi 称,据称他是第一个发现并报告该漏洞的人,只需运行“reg query”命令,就可以显示 Microsoft Defender 无法触及的所有位置,并将其放置在那里有恶意软件。
需要本地访问
OpsecEdu 的网络安全研究员 Nathan McNulty 补充说,事情比这更糟糕,因为当用户安装特定角色或功能时,Defender 会自动排除。
这枚硬币的另一面是,要滥用该漏洞,恶意行为者需要提前获得本地访问权限。根据BleepingComputer的说法,这并不重要,因为许多已经破坏某些端点和网络的恶意行为者可以利用该漏洞进行隐蔽的横向移动。
该出版物还对这个想法进行了测试,称它成功安装了 Conti勒索软件,而没有触发防病毒解决方案的警报。
研究人员同意,该漏洞大约存在八年,并表示管理员应格外小心,通过组策略在服务器和本地计算机上正确配置 Microsoft Defender 排除项。
发现该漏洞影响 Windows 10 21H1 和 Windows 10 21H2 用户,但 Windows 11 是安全的。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.