Windows Defender atrada daudzgadīgu caurumu

Microsoft Defender vai Windows Defender tāpat kā daudzi citi antivīrusi, ļauj no skenēšanas saraksta izslēgt noteiktus ceļus - lokālās mapes un tīkla atrašanās vietas. Tas ir noderīgi, piemēram, izstrādājot programmatūru vai instalējot programmas, kuras kļūdaini tiek uzskatītas par ļaunprātīgu programmatūru.

SentinelOne kiberdrošības eksperts Antonio Kocomazzi, izdomājuka šādu ceļu saraksts tiek saglabāts neaizsargātā formātā. Piekļuve tai ir pieejama visiem vietējiem lietotājiem: viņi var uzzināt, kurus failus, mapes, paplašinājumus un procesus Microsoft Defender ignorē. Lai to izdarītu, vienkārši atveriet Windows konsoli un ievadiet komandu reg query un kā parametru norādiet atbilstošās filiāles nosaukumu operētājsistēmas reģistrā.

Piekļuve konkrēta lietotāja kontam korporatīvajos tīklos ir atrisināms uzdevums, norāda eksperti. Daudzi tīkli jau ir apdraudēti, un kibernoziedznieki tikai gaida īsto brīdi, lai iegūtu pēc iespējas vairāk vērtīgas informācijas. Tad tas ir tehnikas jautājums: pietiek ievietot ļaunprātīgu programmatūru neaizsargātos direktorijos un sākt uzbrukumu.

Jau zināms, ka Microsoft Defender Antivirus ievainojamība pastāv apmēram astoņus gadus vecs. Tas ietekmē jaunākās sistēmas versijas, piemēram, Windows 10 21H1 un Windows 10 21H2 — pēc diviem regulāriem galvenajiem atjauninājumiem, kurus izstrādātāji izlaiž ik pēc sešiem mēnešiem.

Kiberdrošības speciālists Neitans Maknultijs atzīmēja, kas iekšā Windows 11 tādas problēmas nav. Bet operētājsistēmā Windows 10 izslēgšanas sarakstu var iegūt arī no sistēmas reģistra ierakstu koka, kurā tiek glabāti grupas politikas iestatījumi. Šī ir sensitīvāka informācija nekā konkrēta lietotāja iestatījumi — tā tiek izplatīta tīkla datoru grupām.

Lai aizsargātu sevi, jums ir jāpārliecinās, ka jūsu sistēma nav uzlauzta un tajā nav ļaunprātīgas programmatūras. Pēc tam ir vērts pastiprināt drošības iestatījumus un pārskatīt Microsoft Defender skenēšanas izslēgto ceļu sarakstu.