华域联盟 安全资讯 被微软忽略的软件漏洞已存在8年之久

被微软忽略的软件漏洞已存在8年之久

导 读

研究人员发现Microsoft Defender(微软卫士)例外清单的搜寻管道可以让攻击者将恶意程序储存在这些区域内,以躲避防毒软件检测。据安全人员称,这些漏洞至少去年,甚至8年前就存在。

具 体 内 容

日前,才揭露USB over IP软件漏洞的SentinelOne(反病毒预警软件开发商)研究人员Antonio Cocomazzi,上周再揭露存在Defender防毒产品的漏洞。这是因为防毒产品扫瞄会造成系统效能下降、有时还会误判而造成运作失常。因此,和所有其他防毒软件一样,Defender也能让用户设定系统上的例外位置,使防毒扫瞄略过那些区域。只要找到记录这些例外位置的清单,攻击者就能将恶意程式储存在那些区域,而不会被防毒软件检测到。

这就是Defender的漏洞所在。Cocomazzi发现只要在Windows中搜索「HKLM\SOFTWARE\Microsoft\WindowsDefender\Exclusions」及「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用户对Defender设定的例外清单,即使是一般权限用户也可透过GUI工具找到。此外,在PowerShell cmdlet指令中执行GetMpPreference,也可以存取到这资讯,不过这需要具有管理员权限。

Cocomazzi指出,这项存取控制清单(access control list,ACL)组态错误漏洞,影响所有版本Windows 10及Windows Server 2019,但不影响Windows 11。研究人员Nathan McNulty证实至少在去年释出的Windows 21H1及21H2,已经存在这漏洞。

代号SecurityAura的研究人员相信这漏洞至少已经存在8年。Paul Bolton去年5月曾向微软安全研究中心通报这问题,但后者仅视为产品建议而未有动作。

McNulty指出PowerShell上很早以前即已限制存取权限,但GUI上的漏洞却未曾解决。他还说,不记得微软何时曾经强化过登录档(registry)的安全性。

媒体测试将勒索软体样本储存在Defender例外清单的资料夹中,Defender果真不会显示出任何可疑程式的警告。

目前,微软官方尚未做出说明。

本文由 华域联盟 原创撰写:华域联盟 » 被微软忽略的软件漏洞已存在8年之久

转载请保留出处和原文链接:https://www.cnhackhy.com/157255.htm

本文来自网络,不代表华域联盟立场,转载请注明出处。

作者: sterben

发表评论

联系我们

联系我们

2551209778

在线咨询: QQ交谈

邮箱: admin@cnhackhy.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部