Jump to content

Уязвимость в Защитнике Windows позволяет видеть список исключений для сканирования


Recommended Posts

Уязвимость в Защитнике Windows позволяет видеть список исключений для сканирования

09:15 / 14 Января, 2022 2022-01-14T10:15:39+03:00

Alexander Antipov

Проблема существует как минимум восемь лет и затрагивает версии Windows 10 21H1 и Windows 10 21H2.

https://www.securitylab.ru/upload/iblock/912/91271ea40320498fa529db352474bf56.jpeg

Исследователь в области кибербезопасности из компании SentinelOne обнаружил опасную уязвимость в Защитнике Windows. Ее эксплуатация позволяет злоумышленникам узнать места на системе, исключенные из сканирования антивирусным решением, и разместить там вредоносное ПО.

По словам некоторых пользователей, проблема существует уже как минимум восемь лет и затрагивает версии Windows 10 21H1 и Windows 10 21H2.

Как и любое антивирусное решение, Microsoft Defender позволяет добавлять местоположения (локальные или сетевые) в своих системах, которые следует исключить из сканирования на наличие вредоносных программ. Обычно такие исключения нужны для того, чтобы антивирусное ПО не влияла на функциональность легитимных приложений, которые ошибочно определяются как вредоносные программы.

Поскольку список исключений сканирования отличается от одного пользователя к другому, данная информация крайне полезна для злоумышленников. Преступники могут расположить вредоносные файлы в безопасных местах, не опасаясь быть обнаруженными.

Как отметил ИБ-эксперт, любой локальный пользователь может получить доступ к списку местоположений, исключенных из сканирования Защитником Windows. Данная информация никак не защищена и запуск команды reg query раскрывает все исключения для сканирования, будь то файлы, папки, расширения или процессы.

По словам ИБ-специалиста Натана Макналти (Nathan McNulty) проблема присутствует в Windows 10 версий 21H1 и 21H2, но не влияет на Windows 11. Кроме того, уязвимость позволяет получить список исключений из дерева реестра с записями, в которых хранятся настройки групповой политики. Эта информация является более конфиденциальной, поскольку она обеспечивает исключения для нескольких компьютеров.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...