您所在的位置: 首頁 >
安全研究 >
安全通告 >
微軟Defender漏洞可繞過反病毒掃描
研究人員在微軟Defender Antivirus上發(fā)現(xiàn)一個安全漏洞,可繞過反病毒掃描。
微軟近日修復(fù)了微軟Defender Antivirus上的一個安全漏洞,攻擊者利用該漏洞可以在不觸發(fā)Defender惡意軟件引擎的情況下植入和執(zhí)行惡意payload。最新的Windows 10系統(tǒng)版本也受到該漏洞的影響,此外,該漏洞的利用可能可以追溯到2014年。
該漏洞是由于HKLM\Software\Microsoft\Windows Defender\Exclusions 注冊表的安全設(shè)置引發(fā)的。該注冊表鍵值中包含Microsoft Defender掃描的白名單位置,比如文件、文件夾、擴(kuò)展或進(jìn)程。
由于該注冊表的訪問權(quán)限為Everyone組,也就是說任何人都可以訪問該注冊表,如下圖所示:
Everyone group可以訪問該注冊表
因此,無論有沒有權(quán)限,本地用戶都可以通過命令行查詢Windows注冊表來訪問該注冊表。
訪問Defender白名單注冊表
安全研究人員Nathan McNulty稱用戶還可以從保存了組策略group policy設(shè)置記錄的注冊表樹的白名單列表,這些信息更加敏感,因為在Windows域的多個計算機(jī)中給出了白名單。
在找出那些文件夾加入到了反病毒白名單后,攻擊者可以在受感染的Windows計算機(jī)中的白名單文件夾中傳播和執(zhí)行惡意軟件,這一過程中惡意payload不會被檢測到。
通過利用該漏洞,BleepingComputer成功從白名單文件夾中執(zhí)行了Conti勒索軟件,并在沒有任何來自Microsoft Defender的警示的情況下加密了Windows系統(tǒng)。
微軟已于2022年2月的微軟補(bǔ)丁日通過Windows更新修復(fù)了該安全漏洞。SentinelOne研究人員確認(rèn)Windows 10 20H2系統(tǒng)版本已經(jīng)不受該漏洞的影響。安全更新將該注冊表的權(quán)限everyone組已經(jīng)被刪除。
白名單注冊表的新權(quán)限
在最新的Windows 10系統(tǒng)中,用戶需要有admin管理員權(quán)限才可以通過命令行或使用Windows安全設(shè)置財年訪問白名單列表。
訪問Defender注冊表被拒絕
參考及來源:https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-defender-flaw-letting-hackers-bypass-antivirus-scans/
文章來源:嘶吼專業(yè)版