Уязвимость в Защитнике Windows позволяет видеть список исключений для сканирования

Уязвимость в Защитнике Windows позволяет видеть список исключений для сканирования
14.01.2022

Исследователь в области кибербезопасности из компании SentinelOne обнаружил опасную уязвимость в Защитнике Windows. Ее эксплуатация позволяет злоумышленникам узнать места на системе, исключенные из сканирования антивирусным решением, и разместить там вредоносное ПО, информирует SecurityLab.

По словам некоторых пользователей, проблема существует уже как минимум восемь лет и затрагивает версии Windows 10 21H1 и Windows 10 21H2.

Как и любое антивирусное решение, Microsoft Defender позволяет добавлять местоположения (локальные или сетевые) в своих системах, которые следует исключить из сканирования на наличие вредоносных программ. Обычно такие исключения нужны для того, чтобы антивирусное ПО не влияла на функциональность легитимных приложений, которые ошибочно определяются как вредоносные программы.

Поскольку список исключений сканирования отличается от одного пользователя к другому, данная информация крайне полезна для злоумышленников. Преступники могут расположить вредоносные файлы в безопасных местах, не опасаясь быть обнаруженными.

Как отметил ИБ-эксперт, любой локальный пользователь может получить доступ к списку местоположений, исключенных из сканирования Защитником Windows. Данная информация никак не защищена и запуск команды reg query раскрывает все исключения для сканирования, будь то файлы, папки, расширения или процессы.

По словам ИБ-специалиста Натана Макналти (Nathan McNulty) проблема присутствует в Windows 10 версий 21H1 и 21H2, но не влияет на Windows 11. Кроме того, уязвимость позволяет получить список исключений из дерева реестра с записями, в которых хранятся настройки групповой политики. Эта информация является более конфиденциальной, поскольку она обеспечивает исключения для нескольких компьютеров.


Комментарии 0


Назад