被微软忽略的软件漏洞已存在8年之久

发布时间：2022-01-18 13:14:11来源：E安全

导读

研究人员发现MicrosoftDefender（微软卫士）例外清单的搜寻管道可以让攻击者将恶意程序储存在这些区域内，以躲避防毒软件检测。据安全人员称，这些漏洞至少去年，甚至8年前就存在。

具体内容

日前，才揭露USBoverIP软件漏洞的SentinelOne（反病毒预警软件开发商）研究人员AntonioCocomazzi，上周再揭露存在Defender防毒产品的漏洞。这是因为防毒产品扫瞄会造成系统效能下降、有时还会误判而造成运作失常。因此，和所有其他防毒软件一样，Defender也能让用户设定系统上的例外位置，使防毒扫瞄略过那些区域。只要找到记录这些例外位置的清单，攻击者就能将恶意程式储存在那些区域，而不会被防毒软件检测到。

这就是Defender的漏洞所在。Cocomazzi发现只要在Windows中搜索「HKLM\SOFTWARE\Microsoft\WindowsDefender\Exclusions」及「HKLM\SOFTWARE\Policies\Microsoft\WindowsDefender\Exclusions」可以找到用户对Defender设定的例外清单，即使是一般权限用户也可透过GUI工具找到。此外，在PowerShellcmdlet指令中执行GetMpPreference，也可以存取到这资讯，不过这需要具有管理员权限。

Cocomazzi指出，这项存取控制清单（accesscontrollist，ACL）组态错误漏洞，影响所有版本Windows10及WindowsServer2019，但不影响Windows11。研究人员NathanMcNulty证实至少在去年释出的Windows21H1及21H2，已经存在这漏洞。

代号SecurityAura的研究人员相信这漏洞至少已经存在8年。PaulBolton去年5月曾向微软安全研究中心通报这问题，但后者仅视为产品建议而未有动作。

McNulty指出PowerShell上很早以前即已限制存取权限，但GUI上的漏洞却未曾解决。他还说，不记得微软何时曾经强化过登录档（registry）的安全性。

媒体测试将勒索软件样本储存在Defender例外清单的资料夹中，Defender果真不会显示出任何可疑程式的警告。

目前，微软官方尚未做出说明。

注：本文由E安全编译报道。