Điểm yếu của Microsoft Defender cho phép tin tặc trốn tránh phát hiện phần mềm độc hại | VN-Zoom | Cộng đồng Chia Sẻ Kiến Thức Công Nghệ và Phần Mềm Máy Tính

Điểm yếu của Microsoft Defender cho phép tin tặc trốn tránh phát hiện phần mềm độc hại

pepePE

Rìu Chiến Bạc Chấm


Tin tặc có thể khai thác một điểm yếu trong Microsoft Defender Antivirus trong Windows để tìm ra các vị trí bị loại trừ khỏi quá trình quét và cài đặt phần mềm độc hại ở đó.

Theo một số người dùng, sự cố đã tồn tại ít nhất tám năm, ảnh hưởng đến Windows 10 21H1 và Windows 10 21H2.

Quyền hạn chế
Giống như bất kỳ giải pháp chống vi-rút nào, Microsoft Defender cho phép người dùng thêm các vị trí (cục bộ hoặc mạng) trên hệ thống của họ cần được loại trừ khỏi quá trình quét phần mềm độc hại.

Mọi người thường đưa ra các loại trừ để ngăn phần mềm chống vi-rút ảnh hưởng đến chức năng của các ứng dụng hợp pháp bị phát hiện nhầm là phần mềm độc hại.

Vì danh sách các ngoại lệ quét khác nhau ở mỗi người dùng, đây là thông tin hữu ích cho kẻ tấn công vào hệ thống, vì điều này cung cấp cho chúng các vị trí mà chúng có thể lưu trữ các tệp độc hại mà không sợ bị phát hiện.

Các nhà nghiên cứu bảo mật phát hiện ra rằng danh sách các vị trí bị loại trừ khỏi quá trình quét của Microsoft Defender không được bảo vệ và có thể được truy cập bởi bất kỳ người dùng cục bộ nào.

Bất kể quyền của họ là gì, người dùng cục bộ có thể truy vấn sổ đăng ký và tìm hiểu các đường dẫn mà Microsoft Defender không thể xác minh để tìm phần mềm độc hại hoặc tệp nguy hiểm.



Antonio Cocomazzi, nhà nghiên cứu về mối đe dọa của SentinelOne được ghi nhận với báo cáo lỗ hổng RemotePotato0, chỉ ra rằng không có biện pháp bảo vệ nào đối với thông tin này, rằng thông tin này nên được coi là bí mật và việc chạy lệnh "truy vấn nhật ký" sẽ tiết lộ mọi thứ được báo cáo với Microsoft. Bộ bảo vệ không quét, có thể là tệp, thư mục, tiện ích mở rộng hoặc quy trình.



Một chuyên gia bảo mật khác, Nathan McNulty, xác nhận rằng vấn đề này xuất hiện trong Windows 10 phiên bản 21H1 và 21H2, nhưng không ảnh hưởng đến Windows 11.

McNulty cũng xác nhận rằng người ta có thể lấy danh sách loại trừ cây đăng ký với các mục lưu trữ cài đặt Chính sách Nhóm. Thông tin này được bảo mật hơn vì nó cung cấp tính năng loại trừ cho nhiều máy tính.

Là một kiến trúc sư bảo mật thành thạo trong việc bảo vệ ngăn xếp Microsoft, McNulty cảnh báo rằng Microsoft Defender trên máy chủ có "tính năng loại trừ tự động được bật khi các tính năng hoặc chức năng cụ thể được cài đặt" và những điều này không bao gồm các vị trí tùy chỉnh.

Mặc dù tác nhân đe dọa cần quyền truy cập cục bộ để có được danh sách loại trừ Microsoft Defender, nhưng điều này không phải là một trở ngại. Nhiều kẻ tấn công đã ở trên các mạng công ty bị xâm nhập và đang tìm cách di chuyển theo chiều ngang một cách lén lút nhất có thể.

Bằng cách biết danh sách loại trừ của Microsoft Defender, kẻ đe dọa đã xâm nhập máy Windows có thể lưu trữ và chạy phần mềm độc hại từ các thư mục bị loại trừ mà không sợ bị phát hiện.

Trong thử nghiệm của BleepingComputer, một chủng phần mềm độc hại được thực thi từ một thư mục bị loại trừ đã chạy trơn tru trên hệ thống Windows và không tạo ra bất kỳ cảnh báo Microsoft Defender nào.

Chúng tôi đã sử dụng một mẫu Conti ransomware và khi nó được chạy từ một vị trí bình thường, Microsoft Defender đã kích hoạt và chặn phần mềm độc hại này.

Sau khi đặt phần mềm độc hại Conti vào một thư mục bị loại trừ và chạy nó từ đó, Microsoft Defender không hiển thị bất kỳ cảnh báo nào hoặc thực hiện bất kỳ hành động nào, cho phép ransomware mã hóa máy.

Điểm yếu này của Microsoft Defender không phải là mới và đã được Paul Bolton công khai nêu rõ trong quá khứ:



Một nhà tư vấn bảo mật cấp cao cho biết họ đã nhận thấy vấn đề khoảng 8 năm trước và nhận ra lợi thế mà nó mang lại cho một nhà phát triển phần mềm độc hại.

"Tôi luôn nói với bản thân rằng nếu tôi là một nhà phát triển phần mềm độc hại nào đó, tôi sẽ chỉ tìm kiếm các loại trừ WD và đảm bảo đặt trọng tải của mình vào một thư mục bị loại trừ và / hoặc đặt tên nó bằng cùng một tên tệp hoặc phần mở rộng bị loại trừ" - Aura

Vì đã quá lâu và Microsoft vẫn chưa khắc phục được sự cố, quản trị viên mạng nên tham khảo tài liệu để định cấu hình đúng cách loại trừ Microsoft Defender trên các máy cục bộ và máy chủ thông qua chính sách nhóm.

Văn bản được dịch bằng Google Dịch.
Tôi cảm thấy sự bất tiện của những từ bị dịch sai
Nguồn
 

thuyanbui

Rìu Chiến Vàng
Microsoft Defender của những phiên bản Windows gần đây, nhất là win 10 thì thường anh này rất ư cà chớn; anh ta ít phát hiện nhưng phát hiện được kẻ xâm nhập thường cứ tay bắt mặt mừng và sau sống cùng, còn người thân thiện thì hắn cương quyết loại trừ cho bằng sạch (như các app, Tool xxx).

Hahahah, Gọi anh ta là thứ khôn nhà dại chợ cũng không có gì oan.

Có khi đã đến lúc người dùng windows cũng cần loại trừ ngay anh ta cho rãnh.
 
Top