Um invasor pode usar uma vulnerabilidade do Microsoft Defender Antivirus para colocar malware em locais que o Windows Defender exclui da verificação.
O problema existe há pelo menos oito anos, embora tenha sido descoberto recentemente e afete o Windows 10 21H1 e o Windows 10 21H2.
Adicionar locais
O Microsoft Defender pode excluir determinadas áreas do computador da verificação para garantir que as áreas que contêm informações confidenciais não sejam corrompidas acidentalmente por verificações antivírus.
Existem muitos aplicativos de software legítimos que, por vários motivos, são erroneamente identificados como malware por programas antivírus e, portanto, colocam em quarentena ou bloqueiam o acesso ao computador.
Se um usuário incluir o nome de usuário em sua lista de exclusão, isso pode fornecer a um invasor informações úteis sobre o sistema . Isso permite que eles armazenem arquivos maliciosos em áreas do computador que não são verificadas durante verificações regulares.
Pesquisadores de segurança descobriram que o software Microsoft Defender exclui a lista de locais perigosos da verificação, mas qualquer usuário local pode acessá-lo.
Cobertura comprometida
Embora o Windows Defender tenha permissão para verificar o registro em busca de malware e arquivos perigosos, os usuários locais podem consultar o registro para determinar quais caminhos o Defender não pode verificar.
Antonio Cocomazzi, um pesquisador de ameaças creditado pela descoberta da vulnerabilidade RemotePotato0, observa que essas informações não são seguras.
Embora o Microsoft Defender não verifique tudo, seu comando “reg query” mostra que o programa é instruído a não verificar, incluindo arquivos, pastas, extensões e processos.
Outro especialista em segurança do Windows, Nathan McNulty, diz que o problema está presente apenas nas versões 21H1 e 21H2 do Windows 10, mas não afetará o Windows 11.
Configurações de política de grupo
Outra maneira de obter as configurações de política de grupo é obter uma lista de exceções do registro. Essas informações fornecem informações detalhadas sobre o que é excluído e são mais confidenciais do que apenas listar as configurações ativas em um computador específico.
De acordo com McNulty, a Microsoft recomenda desabilitar as exclusões automáticas no Microsoft Defender quando a plataforma do servidor não for dedicada à pilha da Microsoft. Se o software de terceiros estiver instalado no servidor, você deve permitir que o Defender verifique locais arbitrários.
Embora seja possível para um invasor com acesso local obter a lista de exclusão do Microsoft Defender, não é difícil corrigir esse problema.
Quando uma rede corporativa já está comprometida, os invasores geralmente procuram maneiras de contorná-la com ferramentas menos visíveis.
Verificação completa
O Microsoft Defender permite excluir determinadas pastas para que seu antivírus não verifique arquivos nesses locais. O autor do malware pode salvar e executar arquivos infectados dessas pastas sem ser notado.
O consultor sênior de segurança diz que notou o problema pela primeira vez há cerca de oito anos e imediatamente reconheceu seu potencial para uso malicioso.
“Sempre disse a mim mesmo que, se eu fosse algum tipo de desenvolvedor de malware, apenas examinaria as exceções do WD e me certificaria de colocar minha carga na pasta excluída e/ou nomeá-la da mesma forma que o nome ou extensão do arquivo excluído.” explicou Aura.
Se você for um administrador de rede para um ambiente Microsoft, consulte a documentação da Microsoft para obter informações sobre como excluir o Defender da verificação e execução em todos os seus servidores e computadores locais.
O que mais o preocupa na brecha que permite que hackers ignorem o Microsoft Defender? Compartilhe seus pensamentos conosco na seção de comentários abaixo.
Deixe um comentário