Aнтивирус Windows 10 позволяет злоумышленникам избежать обнаружения

Обнаружена устаревшая уязвимость в Microsoft Defender , позволяющая любому штамму вируса или вредоносного ПО незаметно работать в операционной системе Windows.

Aнтивирус Windows 10 позволяет злоумышленникам избежать обнаружения. Фото: Pexels

Теоретически уязвимость довольно проста и фокусируется на размещении вредоносных программ там, куда Защитнику Microsoft «не разрешено заглядывать». Некоторые программы вызывают ложное срабатывание, поэтому их необходимо исключить из сканирования. Один из способов, которым пользователи Защитника делают это, — добавлять определенные местоположения, локально или в сети, которые исключаются из сканирования.

Однако злоумышленники могут относительно легко узнать об этих местах. По словам Антонио Кокомацци, исследователя кибербезопасности из SentinelOne, который якобы первым обнаружил уязвимость и сообщил о ней, просто запустив команду «reg query», можно выявить все местоположения, которые находятся вне досягаемости Microsoft Defender, и разместить их вредоносное ПО там.

Исследователь кибербезопасности Натан Макналти из OpsecEdu добавил, что дела обстоят еще хуже, поскольку Защитник автоматически исключает, когда пользователи устанавливают определенные роли или функции.

Обратная сторона этой медали заключается в том, что для злоупотребления недостатком злоумышленнику необходимо заранее получить локальный доступ. Это не имеет большого значения, так как многие злоумышленники, которые уже скомпрометировали определенные конечные точки и сети, могут использовать уязвимость, чтобы обеспечить скрытное боковое перемещение.

Исследователи утверждают, что уязвимости уже около восьми лет, и администраторы должны проявлять особую осторожность, чтобы правильно настроить исключения Microsoft Defender на серверах и локальных компьютерах с помощью групповых политик.

Было обнаружено, что уязвимость затрагивает пользователей Windows 10 21H1 и Windows 10 21H2, но Windows 11 безопасна.

Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме