Microsoft, Bilgisayar Korsanlarının Virüsten Koruma Taramalarını Atlamasına İzin Veren Defender Kusurunu Düzeltti
Microsoft kısa süre önce, saldırganların Defender'ın kötü amaçlı yazılım algılama motorunu tetiklemeden kötü amaçlı yükleri yerleştirmesine ve yürütmesine olanak tanıyan Windows'taki Microsoft Defender Antivirus'teki bir zayıflığı ele aldı.
Bu güvenlik açığı [ 1 , 2 ] en son Windows 10 sürümlerini etkiledi ve tehdit saldırganları en az 2014'ten beri bunu kötüye kullanabilir.
BleepingComputer'ın daha önce bildirdiği gibi, kusur "HKLM\Software\Microsoft\Windows Defender\Exclusions" Kayıt Defteri anahtarı için gevşek güvenlik ayarlarından kaynaklandı. Bu anahtar, Microsoft Defender taramasından hariç tutulan konumların (dosyalar, klasörler, uzantılar veya işlemler) listesini içerir.
Aşağıdaki resimde gösterildiği gibi, Kayıt Defteri anahtarına 'Herkes' grubu tarafından erişilebildiği için zayıflıktan yararlanmak mümkün oldu.
Bu, yerel kullanıcıların (izinlerine bakılmaksızın) Windows Kayıt Defteri'ni sorgulayarak komut satırı aracılığıyla buna erişmesini mümkün kıldı.
Güvenlik uzmanı Nathan McNulty ayrıca, kullanıcıların bir Windows etki alanında birden çok bilgisayar için istisnalar sağladığı için çok daha hassas bilgiler olan Grup İlkesi ayarlarını depolayan girişlerle kayıt ağaçlarından hariç tutulanların listesini de alabilecekleri konusunda uyardı.
Saldırganlar, virüsten koruma dışlama listesine hangi klasörlerin eklendiğini öğrendikten sonra, güvenliği ihlal edilmiş bir Windows sistemindeki dışlanan bir klasörden kötü amaçlı yazılımın kötü amaçlı yükünün algılanıp etkisiz hale getirileceğinden korkmadan kötü amaçlı yazılım dağıtabilir ve yürütebilir.
BleepingComputer, bu zayıflıktan yararlanarak, hariç tutulan bir klasörden bir Conti fidye yazılımı örneği yürütebilir ve Microsoft Defender'dan herhangi bir uyarı veya algılama belirtisi olmadan bir Windows sistemini şifreleyebilir.
Microsoft tarafından sessizce ele alınan güvenlik zayıflığı
Hollandalı güvenlik uzmanı SecGuru_OTX tarafından Perşembe günü tespit edildiği gibi, Microsoft şimdi sessiz bir güncelleme yoluyla zayıflığı giderdiği için bu artık mümkün değil.
SentinelOne tehdit araştırmacısı Antonio Cocomazzi, Şubat 2022 Salı Yaması Windows güncellemelerini yükledikten sonra kusurun artık Windows 10 20H2 sistemlerinde kullanılamayacağını doğruladı.
Bazı kullanıcılar, Şubat 2022 Yaması Salı Windows toplu güncellemelerini yükledikten sonra yeni izin değişikliğini görüyor.
Öte yandan CERT/CC güvenlik açığı analisti Will Dormann, izin değişikliğini herhangi bir güncelleme yüklemeden aldığını belirterek, değişikliğin hem Windows güncellemeleri hem de Microsoft Defender güvenlik istihbarat güncellemeleri ile eklenebileceğini belirtti.
BleepingComputer'ın da bugün onaylayabildiği gibi, Defender istisnaları için Windows gelişmiş güvenlik ayarlarındaki izinler gerçekten güncellendi ve 'Herkes' grubu Kayıt Defteri anahtarının izinlerinden kaldırıldı.
Bu değişikliğin halihazırda kullanıma sunulduğu Windows 10 sistemlerinde, artık kullanıcıların komut satırı aracılığıyla veya Windows Güvenlik ayarları ekranını kullanarak istisnalar listesine erişebilmeleri için yönetici ayrıcalıklarına sahip olmaları gerekmektedir.
Değişiklik, önceki raporumuzdan bu yana kullanıma sunuldu, ancak şu anda yalnızca Microsoft, bunun etkilenen Windows 10 sistemlerine nasıl aktarıldığını biliyor (Windows güncellemeleri, Defender istihbarat güncellemeleri veya diğer yollarla).
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
