Microsoft Defender’da, Windows işletim sisteminde herhangi bir virüs veya kötü amaçlı yazılım türünün algılanmadan çalışmasına izin verebilecek on yıllık bir güvenlik açığı ortaya çıkarıldı.
Kusur teoride oldukça basittir ve Microsoft Defender’ın göz atmasına izin verilmeyen kötü amaçlı yazılımları yerleştirmeye odaklanır. Bazı programlar yanlış bir pozitif uyarıyı tetikler ve bu nedenle taramadan çıkarılmaları gerekir. Defender kullanıcılarının bunu yapmasının bir yolu, yerel olarak veya bir ağ üzerinde, taramanın dışında bırakılan belirli konumlar eklemektir.
Ancak, kötü niyetli aktörler bu konumlar hakkında nispeten kolaylıkla bilgi edinebilir. Sözde kusuru ilk ortaya çıkaran ve raporlayan SentinelOne’dan bir siber güvenlik araştırmacısı olan Antonio Cocomazzi’ye göre, yalnızca bir “reg query” komutu çalıştırarak, Microsoft Defender’ın erişiminin ötesindeki tüm konumlar ortaya çıkarılabilir ve kötü amaçlı yazılım var.
Yerel erişim gerekli
OpsecEdu’dan siber güvenlik araştırmacısı Nathan McNulty, Defender’ın kullanıcılar belirli roller veya özellikler yüklediğinde otomatik dışlamalar yaptığı için işlerin bundan daha da kötü olduğunu eklemek için araya girdi.
Bu madalyonun diğer yüzü, kusurun kötüye kullanılması için kötü niyetli aktörün önceden yerel erişime sahip olması gerektiğidir. Buna göre BleeBilgisayar, bu çok önemli değil, çünkü belirli uç noktaları ve ağları zaten tehlikeye atan birçok kötü niyetli aktör, gizli yanal harekete izin vermek için kusuru kullanabilir.
Yayın ayrıca, antivirüs çözümünden bir uyarı tetiklemeden Conti fidye yazılımını başarıyla kurmayı başardığını söyleyerek fikri teste tabi tuttu.
Güvenlik açığı yaklaşık sekiz yaşında, araştırmacılar, yöneticilerin sunucularda ve yerel makinelerde Microsoft Defender istisnalarını grup ilkeleri aracılığıyla düzgün bir şekilde yapılandırmak için ekstra özen göstermeleri gerektiğini söyleyerek hemfikir.
Güvenlik açığının Windows 10 21H1 ve Windows 10 21H2 kullanıcılarını etkilediği bulundu, ancak Windows 11 güvenli.
Üzerinden: BleeBilgisayar
