您所在的位置: 首頁 >
安全研究 >
安全通告 >
微軟Defender漏洞可繞過反病毒掃描
研究人員在微軟Defender Antivirus上發現一個安全漏洞,可繞過反病毒掃描。
微軟近日修復了微軟Defender Antivirus上的一個安全漏洞,攻擊者利用該漏洞可以在不觸發Defender惡意軟件引擎的情況下植入和執行惡意payload。最新的Windows 10系統版本也受到該漏洞的影響,此外,該漏洞的利用可能可以追溯到2014年。
該漏洞是由于HKLM\Software\Microsoft\Windows Defender\Exclusions 注冊表的安全設置引發的。該注冊表鍵值中包含Microsoft Defender掃描的白名單位置,比如文件、文件夾、擴展或進程。
由于該注冊表的訪問權限為Everyone組,也就是說任何人都可以訪問該注冊表,如下圖所示:
Everyone group可以訪問該注冊表
因此,無論有沒有權限,本地用戶都可以通過命令行查詢Windows注冊表來訪問該注冊表。
訪問Defender白名單注冊表
安全研究人員Nathan McNulty稱用戶還可以從保存了組策略group policy設置記錄的注冊表樹的白名單列表,這些信息更加敏感,因為在Windows域的多個計算機中給出了白名單。
在找出那些文件夾加入到了反病毒白名單后,攻擊者可以在受感染的Windows計算機中的白名單文件夾中傳播和執行惡意軟件,這一過程中惡意payload不會被檢測到。
通過利用該漏洞,BleepingComputer成功從白名單文件夾中執行了Conti勒索軟件,并在沒有任何來自Microsoft Defender的警示的情況下加密了Windows系統。
微軟已于2022年2月的微軟補丁日通過Windows更新修復了該安全漏洞。SentinelOne研究人員確認Windows 10 20H2系統版本已經不受該漏洞的影響。安全更新將該注冊表的權限everyone組已經被刪除。
白名單注冊表的新權限
在最新的Windows 10系統中,用戶需要有admin管理員權限才可以通過命令行或使用Windows安全設置財年訪問白名單列表。
訪問Defender注冊表被拒絕
參考及來源:https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-defender-flaw-letting-hackers-bypass-antivirus-scans/
文章來源:嘶吼專業版