WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Microsoft sửa lỗi Defender cho phép tin tặc vượt qua trình quét virus
Microsoft gần đây đã giải quyết lỗ hổng trong Microsoft Defender Antivirus trên Windows cho phép hacker thực thi các payload độc hại mà không cần kích hoạt công cụ quét virus của Defender.
Lỗ hổng này đã ảnh hưởng đến các phiên bản Windows 10 mới nhất và kẻ tấn công đe dọa có thể lạm dụng nó ít nhất kể từ năm 2014.
Lỗ hổng do cài đặt bảo mật lỏng lẻo cho khóa đăng ký "HKLM \ Software \ Microsoft \ Windows Defender \ Exclusions". Khóa này chứa danh sách các vị trí (tệp, thư mục, tiện ích mở rộng hoặc quy trình) bị loại trừ khỏi quá trình quét Microsoft Defender.
Điều này giúp người dùng cục bộ (bất kể quyền của họ là gì) có thể truy cập thông qua dòng lệnh bằng cách truy vấn Windows Registry.
Chuyên gia an ninh mạng Nathan McNulty cũng cảnh báo người dùng có thể lấy danh sách loại trừ từ “registry trees” với các mục lưu trữ cài đặt Chính sách nhóm, đây là thông tin nhạy cảm hơn vì nó cung cấp loại trừ cho nhiều máy tính trên miền Windows.
Sau khi tìm ra những thư mục nào đã được thêm vào danh sách loại trừ chống virus, những kẻ tấn công có thể phân phối và thực thi phần mềm độc hại từ một thư mục bị loại trừ trên hệ thống Windows bị xâm nhập mà không sợ mã độc sẽ bị phát hiện và vô hiệu hóa.
Khai thác điểm yếu này có thể thực thi một mẫu Conti ransomware từ một thư mục bị loại trừ và mã hóa hệ thống Windows mà không có bất kỳ cảnh báo hoặc dấu hiệu phát hiện nào từ Microsoft Defender. Tuy nhiên, việc này không còn khả thi vì Microsoft hiện đã âm thầm giải quyết thông qua một bản cập nhật - chuyên gia an ninh mạng người Hà Lan SecGuru_OTX cho biết.
Lỗ hổng này không còn bị khai thác trên các hệ thống Windows 10 20H2 sau khi cài đặt bản cập nhật Windows Patch Tuesday vào tháng 2 năm 2022.
Một số người dùng thấy sự thay đổi quyền mới sau khi cài đặt các bản cập nhật Windows Patch Tuesday vào tháng 2 năm 2022.
Mặt khác, Will Dormann, một nhà phân tích lỗ hổng cho CERT/CC, lưu ý rằng đã nhận được sự thay đổi quyền mà không cần cài đặt bất kỳ bản cập nhật nào, điều này cho thấy việc cập nhật diễn ra trên cả Windows và Microsoft Defender.
Trên các hệ thống Windows 10 đã cập nhật, người dùng hiện được yêu cầu có đặc quyền quản trị viên để có thể truy cập danh sách loại trừ thông qua dòng lệnh hoặc khi thêm chúng bằng màn hình cài đặt Bảo mật của Windows.
Lỗ hổng này đã ảnh hưởng đến các phiên bản Windows 10 mới nhất và kẻ tấn công đe dọa có thể lạm dụng nó ít nhất kể từ năm 2014.
Lỗ hổng do cài đặt bảo mật lỏng lẻo cho khóa đăng ký "HKLM \ Software \ Microsoft \ Windows Defender \ Exclusions". Khóa này chứa danh sách các vị trí (tệp, thư mục, tiện ích mở rộng hoặc quy trình) bị loại trừ khỏi quá trình quét Microsoft Defender.
Điều này giúp người dùng cục bộ (bất kể quyền của họ là gì) có thể truy cập thông qua dòng lệnh bằng cách truy vấn Windows Registry.
Chuyên gia an ninh mạng Nathan McNulty cũng cảnh báo người dùng có thể lấy danh sách loại trừ từ “registry trees” với các mục lưu trữ cài đặt Chính sách nhóm, đây là thông tin nhạy cảm hơn vì nó cung cấp loại trừ cho nhiều máy tính trên miền Windows.
Sau khi tìm ra những thư mục nào đã được thêm vào danh sách loại trừ chống virus, những kẻ tấn công có thể phân phối và thực thi phần mềm độc hại từ một thư mục bị loại trừ trên hệ thống Windows bị xâm nhập mà không sợ mã độc sẽ bị phát hiện và vô hiệu hóa.
Khai thác điểm yếu này có thể thực thi một mẫu Conti ransomware từ một thư mục bị loại trừ và mã hóa hệ thống Windows mà không có bất kỳ cảnh báo hoặc dấu hiệu phát hiện nào từ Microsoft Defender. Tuy nhiên, việc này không còn khả thi vì Microsoft hiện đã âm thầm giải quyết thông qua một bản cập nhật - chuyên gia an ninh mạng người Hà Lan SecGuru_OTX cho biết.
Lỗ hổng này không còn bị khai thác trên các hệ thống Windows 10 20H2 sau khi cài đặt bản cập nhật Windows Patch Tuesday vào tháng 2 năm 2022.
Một số người dùng thấy sự thay đổi quyền mới sau khi cài đặt các bản cập nhật Windows Patch Tuesday vào tháng 2 năm 2022.
Mặt khác, Will Dormann, một nhà phân tích lỗ hổng cho CERT/CC, lưu ý rằng đã nhận được sự thay đổi quyền mà không cần cài đặt bất kỳ bản cập nhật nào, điều này cho thấy việc cập nhật diễn ra trên cả Windows và Microsoft Defender.
Trên các hệ thống Windows 10 đã cập nhật, người dùng hiện được yêu cầu có đặc quyền quản trị viên để có thể truy cập danh sách loại trừ thông qua dòng lệnh hoặc khi thêm chúng bằng màn hình cài đặt Bảo mật của Windows.
Theo: Bleepingcomputers
Chỉnh sửa lần cuối bởi người điều hành: