Microsoft Defender راه ورود هکرها می‌شود

بنابر اظهارات محققان، مهاجمان می‌توانند از باگی قدیمی در Microsoft Defender برای اطلاع از مسیرهای مستثنی شده از پویش این ضدبدافزار استفاده کرده و اقدام به نصب بدافزار کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بنابر اظهارات محققان، مهاجمان می‌توانند از باگی در Microsoft Defender برای اطلاع از مسیرهای مستثنی شده از پویش این ضدبدافزار استفاده کرده و اقدام به نصب بدافزار کنند.

به گفته برخی از کاربران، ضعف موجود در Microsoft Defender حداقل به مدت هشت سال به همین صورت باقی‌مانده است و حتی Windows ۱۰ ۲۱H۱ و Windows ۱۰ ۲۱H۲ را تحت تأثیر قرار می‌دهد.

مانند هر ضدویروس دیگری،Microsoft Defender نیز به کاربران اجازه می‌دهد که نسبت به معرفی مسیرهایی (محلی یا در شبکه) در سیستم خود اقدام کنند تا آن مسیرها توسط پویشگر ضد بدافزار بررسی نشود.
کاربران نیز معمولاً برای جلوگیری از تأثیر ضدویروس بر عملکرد برنامه‌های معتبر خود که ممکن است به‌اشتباه به‌عنوان بدافزار شناسایی شوند، برای برخی برنامه‌ها استثناء قائل می‌شوند.

ازآنجایی‌که لیست موارد در نظر گرفته‌شده به‌عنوان استثناء در پویش ضد بدافزارها، از کاربری به کاربر دیگر متفاوت است، لیست یادشده برای مهاجمان مفید تلقی می‌شود، زیرا حاوی اطلاعاتی از مسیرهایی است که می‌توانند فایل‌های مخرب را بدون ترس از شناسایی شدن ذخیره کنند.

محققان امنیتی دریافتند که مسیرهایی که در پویش Microsoft Defender مستثنی شده‌اند، محافظت نشده‌اند و هر یک از کاربران محلی می‌توانند به آن‌ها دسترسی داشته باشند. کاربران محلی بدون درنظرگرفتن مجوزهای خود، می‌توانند Registry را جستجو کرده و نسبت به مسیرهایی که Microsoft Defender مجاز به بررسی و پویش آن‌ها برای شناسایی بدافزار یا فایل‌های خطرناک نیست، مطلع شوند.

اخیراً محققان خاطرنشان کرده‌اند که اطلاعاتی که حساس در نظر گرفته می‌شوند، به هیچ صورتی محافظت نشده و تمام مواردی همچون فایل‌ها، پوشه‌ها، افزونه‌ها یا پروسه‌ها که توسط Microsoft Defender پویش نمی‌شود، تنها با اجرای فرمان “reg query” قابل نمایش و دستیابی است.

برخی از کارشناسان امنیتی، اعلام کرده‌اند که این باگ در نسخه‌های ۲۱H۱ و ۲۱H۲ در Windows ۱۰ نیز وجود دارد، اما در Windows ۱۱ تأثیری ندارد.

آنان همچنین تأیید کردند که می‌توان فهرست موارد استثناء را از Registry tree که تنظیمات ورودی‌های Group Policy را ذخیره می‌کند، دریافت کرد. این اطلاعات بسیار حساس‌تر است زیرا موارد استثناء را در چندین کامپیوتر اعمال می‌کند.

یکی از محققان متخصص در زمینه فناوری‌های مایکروسافت، هشدار می‌دهد که Microsoft Defender بر روی سرور دارای موارد استثنایی است که به‌صورت خودکار در هنگام نصب نقش‌ها یا ویژگی‌های خاص فعال می‌شوند و این موارد جدا از مسیرهایی است که توسط کاربران مستثنی می‌شوند.

اگرچه دریافت لیست موارد استثناء در Microsoft Defender توسط مهاجمان به دسترسی محلی نیاز دارد، اما دستیابی به آن چندان دشوار نیست؛ زیرا بسیاری از مهاجمان در حال حاضر در شبکه‌های سازمانی آسیب‌پذیر حضور دارند و همچنان به دنبال راهی برای توسعه آلودگی در شبکه (Lateral Movement) تاحدامکان به‌صورت مخفیانه هستند.

با دانستن لیست موارد استثناء شده در Microsoft Defender، مهاجمانی که قبلاً به یک دستگاه Windows حمله کرده‌اند، می‌توانند بدافزار را از پوشه‌های مستثنی شده بدون ترس از شناسایی شدن، ذخیره و اجرا کنند.
محققان در آزمایش‌های خود، باج‌افزار Conti را از یک پوشه مستثنی شده در سیستم Windows اجرا کردند و هیچ هشدار و اقدامی از سوی Microsoft Defender دریافت نکردند و به باج‌افزار اجازه داد دستگاه را رمزگذاری کند. محققان سپس، باج‌افزار Conti را از یک مسیر معمولی اجرا کردند، در این حالت Microsoft Defender آن را مسدود کرد.

این ضعف Microsoft Defender جدید نیست و در گذشته نیز توسط محققان به‌طور عمومی اعلام‌شده است.

یکی از متخصصان امنیتی گفته است: آنان حدود هشت سال پیش متوجه این موضوع شدند و مزیتی را تشخیص دادند که اطلاع از این موارد استثناء برای یک توسعه‌دهنده بدافزار ایجاد کرده است.

با توجه‌ به اینکه مدت‌زمان زیادی از تشخیص ضعف یادشده می‌گذرد و مایکروسافت هنوز به این باگ رسیدگی نکرده است، مدیران شبکه باید هنگام پیکربندی Microsoft Defender بر روی سرورها و ماشین‌های محلی، به‌صورت متمرکز از طریق Group policies، مواردی را که باید هنگام پویش ضد بدافزار مستثنی شوند، با سخت‌گیری بیشتری تعیین و تعریف کنند.