被微软忽略的软件漏洞已存在8年之久

admin 2022年2月8日16:50:10cnnvd_news评论19 次浏览阅读模式

导 读

研究人员发现Microsoft Defender(微软卫士)例外清单的搜寻管道可以让攻击者将恶意程序储存在这些区域内,以躲避防毒软件检测。据安全人员称,这些漏洞至少去年,甚至8年前就存在。

具 体 内 容

日前,才揭露USB over IP软件漏洞的SentinelOne(反病毒预警软件开发商)研究人员Antonio Cocomazzi,上周再揭露存在Defender防毒产品的漏洞。这是因为防毒产品扫瞄会造成系统效能下降、有时还会误判而造成运作失常。因此,和所有其他防毒软件一样,Defender也能让用户设定系统上的例外位置,使防毒扫瞄略过那些区域。只要找到记录这些例外位置的清单,攻击者就能将恶意程式储存在那些区域,而不会被防毒软件检测到。

这就是Defender的漏洞所在。Cocomazzi发现只要在Windows中搜索「HKLM\SOFTWARE\Microsoft\WindowsDefender\Exclusions」及「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用户对Defender设定的例外清单,即使是一般权限用户也可透过GUI工具找到。此外,在PowerShell cmdlet指令中执行GetMpPreference,也可以存取到这资讯,不过这需要具有管理员权限。

Cocomazzi指出,这项存取控制清单(access control list,ACL)组态错误漏洞,影响所有版本Windows 10及Windows Server 2019,但不影响Windows 11。研究人员Nathan McNulty证实至少在去年释出的Windows 21H1及21H2,已经存在这漏洞。

代号SecurityAura的研究人员相信这漏洞至少已经存在8年。Paul Bolton去年5月曾向微软安全研究中心通报这问题,但后者仅视为产品建议而未有动作。

McNulty指出PowerShell上很早以前即已限制存取权限,但GUI上的漏洞却未曾解决。他还说,不记得微软何时曾经强化过登录档(registry)的安全性。

媒体测试将勒索软体样本储存在Defender例外清单的资料夹中,Defender果真不会显示出任何可疑程式的警告。

目前,微软官方尚未做出说明。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月8日16:50:10
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2022/02/08/126414.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: