• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

Microsoft Defender漏洞可以绕过反病毒扫描


Recommended Posts

研究人员在微软Defender Antivirus中发现了一个安全漏洞,可以绕过反病毒扫描。

近日,微软修复了微软Defender Antivirus中的一个安全漏洞,该漏洞允许攻击者在不触发Defender恶意软件引擎的情况下植入并执行恶意有效载荷。最新Windows 10系统版本的也受此漏洞影响。此外,对该漏洞的利用可能要追溯到2014年。

该漏洞是由HKLM \软件\ Microsoft \ Windows Defender \ Exclusions注册表的安全设置引起的。该注册表项包含Microsoft Defender扫描的白名单位置,如文件、文件夹、扩展名或进程。

因为这个注册表的访问权限是Everyone组,也就是说任何人都可以访问这个注册表,如下图所示:

Exclusions  Registry  key  accessible  by  the  Everyone  group

每个人组都可以访问注册表。

因此,无论本地用户是否拥有权限,他们都可以通过命令行访问Windows注册表。

Accessing  Defender  exclusions

访问防御者白名单注册表

安全研究员内森麦纽提说,用户也可以从保存组策略设置记录的注册表树中选择白名单。此信息更加敏感,因为在Windows域中的多台计算机中都给出了白名单。

在找出哪些文件夹被添加到反病毒白名单后,攻击者可以在受感染的Windows计算机中的白名单文件夹中传播和执行恶意软件,在此过程中恶意有效载荷不会被检测到。

利用该漏洞,BleepingComputer在没有微软Defender任何警告的情况下,成功从白名单文件夹执行Conti勒索软件,并加密Windows系统。

微软已经在2022年2月的微软补丁日通过Windows update修复了这个安全漏洞。SentinelOne研究人员证实,Windows 10 20H2系统版本不受该漏洞影响。安全更新此注册表的权限。每个人群组已被删除。

New  permissions  for  the  Exclusions  Registry  key

白名单注册表的新权限

在最新的Windows 10系统中,用户需要拥有admin管理员权限,才能通过命令行或使用财年Windows安全设置访问白名单。

Access  to  Defender  exclusions  now  blocked

拒绝访问Defender注册表。

Link to comment
Share on other sites