کمیته رکن چهارم – بنابر اظهارات محققان، مهاجمان میتوانند از باگی قدیمی در Microsoft Defender برای اطلاع از مسیرهای مستثنی شده از پویش این ضدبدافزار استفاده کرده و اقدام به نصب بدافزار کنند.
بنابر اظهارات محققان، مهاجمان میتوانند از باگی در Microsoft Defender برای اطلاع از مسیرهای مستثنی شده از پویش این ضدبدافزار استفاده کرده و اقدام به نصب بدافزار کنند.
به گفته برخی از کاربران، ضعف موجود در Microsoft Defender حداقل به مدت هشت سال به همین صورت باقیمانده است و حتی Windows ۱۰ ۲۱H۱ و Windows ۱۰ ۲۱H۲ را تحت تأثیر قرار میدهد.
مانند هر ضدویروس دیگری،Microsoft Defender نیز به کاربران اجازه میدهد که نسبت به معرفی مسیرهایی (محلی یا در شبکه) در سیستم خود اقدام کنند تا آن مسیرها توسط پویشگر ضد بدافزار بررسی نشود.
کاربران نیز معمولاً برای جلوگیری از تأثیر ضدویروس بر عملکرد برنامههای معتبر خود که ممکن است بهاشتباه بهعنوان بدافزار شناسایی شوند، برای برخی برنامهها استثناء قائل میشوند.
ازآنجاییکه لیست موارد در نظر گرفتهشده بهعنوان استثناء در پویش ضد بدافزارها، از کاربری به کاربر دیگر متفاوت است، لیست یادشده برای مهاجمان مفید تلقی میشود، زیرا حاوی اطلاعاتی از مسیرهایی است که میتوانند فایلهای مخرب را بدون ترس از شناسایی شدن ذخیره کنند.
محققان امنیتی دریافتند که مسیرهایی که در پویش Microsoft Defender مستثنی شدهاند، محافظت نشدهاند و هر یک از کاربران محلی میتوانند به آنها دسترسی داشته باشند. کاربران محلی بدون درنظرگرفتن مجوزهای خود، میتوانند Registry را جستجو کرده و نسبت به مسیرهایی که Microsoft Defender مجاز به بررسی و پویش آنها برای شناسایی بدافزار یا فایلهای خطرناک نیست، مطلع شوند.
اخیراً محققان خاطرنشان کردهاند که اطلاعاتی که حساس در نظر گرفته میشوند، به هیچ صورتی محافظت نشده و تمام مواردی همچون فایلها، پوشهها، افزونهها یا پروسهها که توسط Microsoft Defender پویش نمیشود، تنها با اجرای فرمان “reg query” قابل نمایش و دستیابی است.
برخی از کارشناسان امنیتی، اعلام کردهاند که این باگ در نسخههای ۲۱H۱ و ۲۱H۲ در Windows ۱۰ نیز وجود دارد، اما در Windows ۱۱ تأثیری ندارد.
آنان همچنین تأیید کردند که میتوان فهرست موارد استثناء را از Registry tree که تنظیمات ورودیهای Group Policy را ذخیره میکند، دریافت کرد. این اطلاعات بسیار حساستر است زیرا موارد استثناء را در چندین کامپیوتر اعمال میکند.
یکی از محققان متخصص در زمینه فناوریهای مایکروسافت، هشدار میدهد که Microsoft Defender بر روی سرور دارای موارد استثنایی است که بهصورت خودکار در هنگام نصب نقشها یا ویژگیهای خاص فعال میشوند و این موارد جدا از مسیرهایی است که توسط کاربران مستثنی میشوند.
اگرچه دریافت لیست موارد استثناء در Microsoft Defender توسط مهاجمان به دسترسی محلی نیاز دارد، اما دستیابی به آن چندان دشوار نیست؛ زیرا بسیاری از مهاجمان در حال حاضر در شبکههای سازمانی آسیبپذیر حضور دارند و همچنان به دنبال راهی برای توسعه آلودگی در شبکه (Lateral Movement) تاحدامکان بهصورت مخفیانه هستند.
با دانستن لیست موارد استثناء شده در Microsoft Defender، مهاجمانی که قبلاً به یک دستگاه Windows حمله کردهاند، میتوانند بدافزار را از پوشههای مستثنی شده بدون ترس از شناسایی شدن، ذخیره و اجرا کنند.
محققان در آزمایشهای خود، باجافزار Conti را از یک پوشه مستثنی شده در سیستم Windows اجرا کردند و هیچ هشدار و اقدامی از سوی Microsoft Defender دریافت نکردند و به باجافزار اجازه داد دستگاه را رمزگذاری کند. محققان سپس، باجافزار Conti را از یک مسیر معمولی اجرا کردند، در این حالت Microsoft Defender آن را مسدود کرد.
این ضعف Microsoft Defender جدید نیست و در گذشته نیز توسط محققان بهطور عمومی اعلامشده است.
یکی از متخصصان امنیتی گفته است: آنان حدود هشت سال پیش متوجه این موضوع شدند و مزیتی را تشخیص دادند که اطلاع از این موارد استثناء برای یک توسعهدهنده بدافزار ایجاد کرده است.
با توجه به اینکه مدتزمان زیادی از تشخیص ضعف یادشده میگذرد و مایکروسافت هنوز به این باگ رسیدگی نکرده است، مدیران شبکه باید هنگام پیکربندی Microsoft Defender بر روی سرورها و ماشینهای محلی، بهصورت متمرکز از طریق Group policies، مواردی را که باید هنگام پویش ضد بدافزار مستثنی شوند، با سختگیری بیشتری تعیین و تعریف کنند.
منبع : مرکز مدیریت راهبردی افتا