研究人員在微軟Defender Antivirus上發現一個安全漏洞，可繞過反病毒掃描。

微軟近日修復了微軟Defender Antivirus上的一個安全漏洞，攻擊者利用該漏洞可以在不觸發Defender惡意軟件引擎的情況下植入和執行惡意payload。最新的Windows 10系統版本也受到該漏洞的影響，此外，該漏洞的利用可能可以追溯到2014年。

該漏洞是由于HKLM\Software\Microsoft\Windows Defender\Exclusions 注冊表的安全設置引發的。該注冊表鍵值中包含Microsoft Defender掃描的白名單位置，比如文件、文件夾、擴展或進程。

由于該注冊表的訪問權限為Everyone組，也就是說任何人都可以訪問該注冊表，如下圖所示：

Everyone group可以訪問該注冊表

因此，無論有沒有權限，本地用戶都可以通過命令行查詢Windows注冊表來訪問該注冊表。

訪問Defender白名單注冊表

安全研究人員Nathan McNulty稱用戶還可以從保存了組策略group policy設置記錄的注冊表樹的白名單列表，這些信息更加敏感，因為在Windows域的多個計算機中給出了白名單。

在找出那些文件夾加入到了反病毒白名單后，攻擊者可以在受感染的Windows計算機中的白名單文件夾中傳播和執行惡意軟件，這一過程中惡意payload不會被檢測到。

通過利用該漏洞，BleepingComputer成功從白名單文件夾中執行了Conti勒索軟件，并在沒有任何來自Microsoft Defender的警示的情況下加密了Windows系統。

微軟已于2022年2月的微軟補丁日通過Windows更新修復了該安全漏洞。SentinelOne研究人員確認Windows 10 20H2系統版本已經不受該漏洞的影響。安全更新將該注冊表的權限everyone組已經被刪除。

白名單注冊表的新權限

在最新的Windows 10系統中，用戶需要有admin管理員權限才可以通過命令行或使用Windows安全設置財年訪問白名單列表。

訪問Defender注冊表被拒絕

參考及來源：https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-defender-flaw-letting-hackers-bypass-antivirus-scans/

文章來源：嘶吼專業版