Εγκληματίες του κυβερνοχώρου μπορούν να εκμεταλλευτούν μια αδυναμία που επηρεάζει το Microsoft Defender antivirus στα Windows. Η αδυναμία αυτή επιτρέπει στους κακόβουλους χρήστες να μάθουν τοποθεσίες που εξαιρούνται από τη σάρωση του antivirus, και να εγκαταστήσουν εκεί κακόβουλο λογισμικό.
Σύμφωνα με κάποιους χρήστες, το ζήτημα αυτό υπάρχει για τουλάχιστον οκτώ χρόνια και επηρεάζει τα Windows 10 21H1 και Windows 10 21H2.
Το Microsoft Defender επιτρέπει στους χρήστες να προσθέτουν τοποθεσίες (τοπικά ή στο δίκτυο) στα συστήματά τους που εξαιρούνται από σαρώσεις κακόβουλου λογισμικού. Οι άνθρωποι συνήθως επιλέγουν να εξαιρέσουν κάποια στοιχεία από σάρωση, για να μην επηρεάζεται η λειτουργικότητα των νόμιμων εφαρμογών, αφού μερικές φορές το antivirus μπορεί να τις εντοπίσει εσφαλμένα ως κακόβουλο λογισμικό.
Αυτό σημαίνει ότι ορισμένες εφαρμογές δεν σαρώνονται και άρα δεν έχουν καμιά προστασία. Αν ένας κακόβουλος χρήστης μάθει ποιες είναι αυτές οι εφαρμογές που δεν προστατεύονται, μπορεί να τις μολύνει με malware.
Ερευνητές ασφαλείας ανακάλυψαν ότι η λίστα των τοποθεσιών που εξαιρούνται από τη σάρωση του Microsoft Defender δεν είναι προστατευμένη και οποιοσδήποτε τοπικός χρήστης μπορεί να έχει πρόσβαση σε αυτήν.
Ανεξάρτητα από τις άδειές τους, οι τοπικοί χρήστες μπορούν να κάνουν query στο registry και να μάθουν τα paths που δεν επιτρέπεται να ελέγχει το Microsoft Defender.
Ο Antonio Cocomazzi, ένας ερευνητής απειλών της SentinelOne, αναφέρει ότι δεν υπάρχει προστασία για αυτές τις πληροφορίες.
Ένας άλλος ειδικός σε θέματα ασφάλειας, ο Nathan McNulty, επιβεβαίωσε ότι το πρόβλημα υπάρχει στις εκδόσεις 21H1 και 21H2 των Windows 10, αλλά τόνισε ότι δεν επηρεάζει τα Windows 11.
- Ένας παράγοντας απειλής χρειάζεται τοπική πρόσβαση για να μάθει ποιες τοποθεσίες εξαιρούνται από τον έλεγχο του Microsoft Defender. Ωστόσο, αυτό δεν σημαίνει ότι δεν υπάρχει κίνδυνος. Πολλοί εισβολείς βρίσκονται ήδη σε παραβιασμένα εταιρικά δίκτυα και αναζητούν τρόπο να κινηθούν μέσα σε αυτά, όσο το δυνατόν πιο αθόρυβα.
Γνωρίζοντας τη λίστα των εξαιρέσεων του Microsoft Defender, ένας παράγοντας απειλής που έχει ήδη παραβιάσει ένα μηχάνημα Windows, μπορεί να αποθηκεύσει και να εκτελέσει κακόβουλο λογισμικό, χωρίς να φοβάται ότι θα εντοπιστεί από το antivirus.
Αυτή η αδυναμία του Microsoft Defender έχει επισημανθεί και στο παρελθόν από τον Paul Bolton:
Δεδομένου ότι η Microsoft δεν έχει ακόμη αντιμετωπίσει το πρόβλημα, οι διαχειριστές δικτύου θα πρέπει να είναι πολύ προσεκτικοί και να φροντίσουν για τη σωστή διαμόρφωση των εξαιρέσεων του Microsoft Defender.