В Microsoft Defender обнаружили уязвимость, которая позволяет обходить защиту

Microsoft Defender («Защитник Windows») позволяет выбирать, какие пути он не должен сканировать, и создать отдельный список таких исключений. Эту функцию используют при разработке ПО или для программ, которые антивирус по ошибке считает вредоносными. Эксперты нашли в антивирусе уязвимость, которая позволяет свободно просматривать этот список. Редакция MC.today рассказывает подробности.

---

Что случилось

Уязвимость обнаружил эксперт по кибербезопасности компании SentinelOne Антонио Кокомацци. Он выяснил, что список этих путей никак не защищен. Любой пользователь может узнать, какие процессы, папки, файлы и расширения не сканирует Microsoft Defender, пишет BleepingComputer.

Windows Defender AV allows Everyone to read the configured exclusions on the system 🤦

reg query "HKLMSOFTWAREMicrosoftWindows DefenderExclusions" /s pic.twitter.com/dpTFwMVRje

— Antonio Cocomazzi (@splinter_code) January 12, 2022

Чтобы посмотреть список исключений, в консоли Windows нужно ввести команду reg query. Как параметр надо указать имя нужной ветки в реестре ОС.

В папке из этого списка злоумышленники могут разместить вредоносное ПО, которое поможет им получить информацию пользователя и доступ к его аккаунтам. Для этого им даже не нужен локальный доступ, потому что хакеры уже взломали многие корпоративные сети.

Эта уязвимость в Microsoft Defender действует уже восемь лет. Она также распространяется на новые версии ОС – Windows 10 21H1 и Windows 10 21H2. Но при этом такой ошибки нет в Windows 11.

Специалист по кибербезопасности Натан Макналти рассказал, что список исключений можно получить из дерева записей системного реестра, в которых хранятся настройки группового доступа. Эта информация более защищена, потому что она показывает исключения для нескольких компьютеров.

Как обезопасить себя

Для этого нужно проверить систему на вредоносное ПО, а потом усилить настройки безопасности. После этого стоит посмотреть список путей, которые не должен сканировать Microsoft Defender, и по возможности изменить его.

Напомним, в Safari 15 обнаружили уязвимость, которая «сливает» данные о том, что пользователь делал в сети или на какие сайты заходил.

Когда на сайт заходят в Safari 15, создается новая (пустая) база данных с тем же именем во всех других активных фреймах, вкладках и окнах во время одного сеанса браузера. Поэтому другие сайты могут получать информацию о том, что делал пользователь в сети.

Уязвимость есть на всех Mac, iPhone и iPad. Она связана с интерфейсом прикладного программирования (IPO) Apple IndexedDB, который сохраняет данные пользователя в браузере и разрешает сохранять эту информацию сайтам.

Специалисты сообщили Apple об ошибке еще 28 ноября 2021 года, но в компании до сих пор не отреагировали.