Luka w Windows Defender pozwala hakerom omijać wykrywanie malware

14 stycznia 202218 stycznia 2022 Maciej Lewczuk 21H1, 21H2, bezpieczeństwo, cyberbezpieczeństwo, cyberochrona, cyberprzestępcy, hakerzy, luki bezpieczeństwa, Luki w zabezpieczeniach, malware, Microsoft, oprogramowanie antywirusowe, Windows 10, Windows Defender

Luka w Windows Defender znajduje się tam podobno od lat i występuje w wersjach systemu Windows 10 21H1 i 21H2. Pozwala ona hakerom wykrywać obszary wyłączone ze skanowania i umieszczać tam złośliwe oprogramowanie.

There is now a check for this in PrivescCheck (available through the "-Extended" mode).
Thanks @splinter_code ! 🙏 https://t.co/hMCwa03AlY
— Clément Labro (@itm4n) January 13, 2022

Windows Defender

Windows Defender to wbudowany w system Windows system antywirusowy, który ma chronić komputer przed złośliwym oprogramowaniem, a także aplikacjami szpiegującymi. Jest on na stałe wbudowany w systemy Microsoft Windows, począwszy od Vista, a skończywszy na Microsoft Windows 11.

Windows Defender oferuje ochronę:

autostartu przed niepożądanymi programami,
ustawień systemu,
dodatków do przeglądarki Internet Explorer oraz Chrome,
ustawień programu Internet Explorer,
pobieranych plików,
sterowników i usług,
aplikacji i programów.

Luka w Windows Defender pozwala hakerom omijać wykrywanie malware

Jak donoszą portal Bleeping Computer, a także zacytowany Antonio Cocomazzi, badający zagrożenia w SentinelOne, pewna funkcja zabezpieczenia Windows Defender sprawia, że zabezpieczony nim komputer jest podatny na ataki hakerów, które bardzo trudno wykryć.

Jedną z opcji Windows Defender jest możliwość wyłączenia aplikacji oraz lokalizacji na dyskach twardych ze skanowania. Jest to usługa, którą wprowadzono, aby użytkownicy systemów Windows mogli uruchamiać aplikacje, które wykrywane są przez zabezpieczenia jako szkodliwe oprogramowanie, gdy tak naprawdę nimi nie są.

Hakerzy mogą wykryć takie wyłączone lokalizacje i umieszczać tam złośliwy kod, który będzie chroniony przed wykryciem przez program antywirusowy.

Problem dotyczy głównie systemów Windows 10 w wersjach 21H1 i 21H2, w których lista lokalizacji wykluczonych ze skanowania w programie Defender nie jest zabezpieczona. Niezależnie od posiadanych uprawnień, lokalni użytkownicy mogą wysyłać zapytania do rejestru i poznawać ścieżki, których wbudowany w Windows program nie może sprawdzać pod kątem złośliwego oprogramowania lub niebezpiecznych plików.

Znając ten problem, warto stosować też dodatkowe, nawet darmowe programy antywirusowe renomowanych producentów, a co jakiś czas skanować komputery zewnętrznymi aplikacjami antymalware, w tym także dostępnymi online.

Źródło: Bleeping Computer

Maciej Lewczuk

Entuzjasta technologii IT, mobile, wearables. Freelancer, od lat w branży mediów IT/Mobile (CD-Action, NeXT, PC Format, CafePC.pl, Benchmark.pl, Mobility, Komputer Świat, Bezprawnik, Startupmag, IoTLab.pl) , były PRowiec (Sweex i Hannspree) i logistyk. Pasjonat jedzenia, gotowania, zdrowego odżywiania, wędrówek, jazdy na rowerze, książek, kina, opery, teatru i wielu innych.