Windows 10 antivirüs zayıflığı, saldırganların algılamadan kaçmasına olanak tanır. Hemen hemen her Microsoft Defender örneğinin bir kör noktası vardır.

Microsoft Defender’da, Windows işletim sisteminde herhangi bir virüs veya kötü amaçlı yazılım türünün algılanmadan çalışmasına izin verebilecek on yıllık bir güvenlik açığı ortaya çıkarıldı.

Kusur teoride oldukça basittir ve Microsoft Defender’ın göz atmasına izin verilmeyen kötü amaçlı yazılımları yerleştirmeye odaklanır. Bazı programlar yanlış bir pozitif uyarıyı tetikler. Bu nedenle taramadan çıkarılmaları gerekir. Defender kullanıcılarının bunu yapmasının bir yolu, yerel olarak veya bir ağ üzerinde, taramanın dışında bırakılan belirli konumlar eklemektir.

Ancak, kötü niyetli aktörler bu konumlar hakkında nispeten kolaylıkla bilgi edinebilir. Sözde kusuru ilk ortaya çıkaran ve raporlayan SentinelOne’dan bir siber güvenlik araştırmacısı olan Antonio Cocomazzi’ye göre, yalnızca bir “reg query” komutu çalıştırarak, Microsoft Defender’ın erişiminin ötesindeki tüm konumlar ortaya çıkarılabilir ve kötü amaçlı yazılım var.

Yerel Erişim Gerekli

OpsecEdu’dan siber güvenlik araştırmacısı Nathan McNulty, Defender’ın kullanıcılar belirli roller veya özellikler yüklediğinde otomatik dışlamalar yaptığı için işlerin bundan daha da kötü olduğunu eklemek için araya girdi.

Bu madalyonun diğer yüzü ise, kusurun kötüye kullanılması için kötü niyetli aktörün önceden yerel erişime sahip olması gerektiğidir. BleepingComputer’a göre, bu çok da önemli değil. Çünkü zaten belirli uç noktaları ve ağları tehlikeye atan birçok kötü niyetli aktör, gizli yanal harekete izin vermek için kusuru kullanabilir.

Yayın ayrıca, antivirüs çözümünden bir uyarı tetiklemeden Conti fidye yazılımını başarıyla kurmayı başardığını söyleyerek fikri teste tabi tuttu.

Güvenlik açığı durumunda araştırmacılar, yöneticilerin sunucularda ve yerel makinelerde Microsoft Defender istisnalarını grup ilkeleri aracılığıyla düzgün bir şekilde yapılandırmak için ekstra özen göstermeleri gerektiğini söyleyerek hemfikir.

Güvenlik açığının Windows 10 21H1 ve Windows 10 21H2 kullanıcılarını etkilediği bulundu. Ancak Windows 11 güvenli.