Microsoft yakın zamanda, saldırganların, savunucunun kötü amaçlı yazılım algılama motorunu tetiklemeden kötü amaçlı yükler yapmasına izin veren pencerelerde bir zayıflığı ele geçirdi.
Bu güvenlik hatası [1, 2] en son Windows 10 versiyonlarını etkiledi ve tehdit saldırganları en az 2014'ten beri onu kötüye kullanabilir.
BleepingComputer'ın daha önce bildirildiği gibi, kusur, "HKLM \ Software \ Microsoft \ Windows Defender \ Applusions" kayıt defteri anahtarı için LAX güvenlik ayarlarından kaynaklandı. Bu anahtar, Microsoft Defender taramasından dışlanan konumların listesini (dosyalar, klasörler, uzantılar veya işlemler) içerir.
Zayıflığı sömürmek mümkündü, çünkü kayıt defteri anahtarının aşağıdaki resimde gösterildiği gibi 'Herkes' grubu tarafından erişilebilirdi.
Bu, yerel kullanıcıların (izinlerinden bağımsız olarak), Windows kayıt defterini sorgulayarak komut satırı üzerinden erişmek için mümkün olmuştur.
Güvenlik Uzmanı Nathan McNulty ayrıca, kullanıcıların, bir Windows etki alanındaki birden fazla bilgisayarın istiflemesi sağladığı için çok daha hassas bilgi veren Grup İlkesi ayarlarını depolayan Grup İlkesi Ayarları'ndaki Grup İlkesi ayarlarını depolayan Grup İlkesi Ayarları'ndaki kayıtların listesini de alabilmeleri konusunda uyardı.
Antivirüs dışlama listesine hangi klasörlerin eklendiğini öğrendikten sonra, saldırganlar, kötü niyetli yükünün tespit edilip nötrleştirileceğinden korkmak zorunda kalmadan, bozulmuş bir Windows sistemindeki hariç tutulan bir klasörden kötü amaçlı yazılımları sunabilir ve yürütebilirler.
Bu zayıflığı sömürerek, BleepingComputer, hariç tutulan bir klasörden bir Conti Ransomware örneğini yerine getirebilir ve bir Windows sistemini Microsoft Defender'dan herhangi bir uyarısı veya tespit işareti olmadan şifreleyin.
Bu, artık Microsoft'un, Perşembe günü Hollanda Güvenlik Uzmanı Secguru_otx tarafından görüldüğü gibi, şimdi bir sessiz güncelleme yoluyla zayıflığı ele aldığını belirtti.
Sentinelone Tehdit Araştırması Antonio Cocomazzi, Şubat 2022 Patch Salı Windows güncellemelerini yükledikten sonra kusurun artık Windows 10 20H2 sistemlerinde kullanılamayacağını doğruladı.
Bazı kullanıcılar, Şubat 2022 Patch Salı Windows kümülatif güncellemelerini yükledikten sonra yeni izin değişikliğini görüyorlar.
Öte yandan, CERT / CC için bir güvenlik açığı analisti olan Dormann, herhangi bir güncelleme kurmadan izinlerini takmadan, değişikliğin hem Windows güncellemeleri hem de Microsoft Defender Güvenlik İstihbarat Güncellemeleri tarafından eklenebileceğini belirten izinlerini aldığını belirtti.
BleepingComputer'ın bugün de onaylayabildiğinden, Defender Aptallar için Windows Gelişmiş Güvenlik Ayarlarındaki izinler gerçekten de güncellendi, 'Herkesin' grubu kayıt defteri anahtarının izinlerinden kaldırıldı.
Windows 10 sistemlerinde, bu değişikliğin zaten yuvarlandığı sistemlerde, kullanıcıların artık komut satırı üzerinden dışlamalar listesine veya Windows Güvenlik Ayarları ekranını kullanarak eklerken yönetici ayrıcalıklarına sahip olmak için gereklidir.
Değişim, önceki raporumuzdan bu yana piyasaya sürüldü, ancak şu anda, yalnızca Microsoft'un etkilenen Windows 10 sistemlerine nasıl itildiğini (Windows güncellemeleri, defans istihbarat güncellemeleri veya başka yollarla) nasıl itildiğini biliyor.
Bir Microsoft sözcüsü, bugün BleepingComputer tarafından iletişim kurulduğunda yorum için kullanılamadı.
Microsoft, Windows şifrelerini bellekten çalmayı zorlaştırıyor
Microsoft Defender Zayıflığı, bilgisayar korsanlarının kötü amaçlı yazılım algılamasını atlamasına izin verir
Microsoft Şubat 2022 Yama Salı Düzeltmeler 48 Kusurlar, 1 Sıfır Günü
Microsoft Ocak 2022 Yama Salı Düzeltmeler 6 Sıfır Gün, 97 Kusurlar
Azure, 365 ve Windows, bu eğitim paketi ile sizin için çalışın
Kaynak: Bleeping Computer