Antivirový program Microsoft Defender obsahuje chybu, která může hackerům umožnit spuštění škodlivého kódu na zranitelných počítačích s operačním systémem Windows. Problém se týká Windows 10 21H1 a Windows 10 21H2, existuje již nejméně osm let, nicméně teprve nedávno byl objeven a identifikován, informuje web Windows Report.
Bezpečnostní chyba umožňuje hackerům ukládat škodlivé programy do nekontrolovaných oblastí, což jim dovoluje obcházet antivirové kontroly. Pointa spočívá v tom, že Microsoft Defender může z kontroly vyloučit určitá místa, aby se zajistilo, že oblasti obsahující důležité informace nebudou antivirovou kontrolou neúmyslně poškozeny.
Malware obcházející MS Defender
Jádro pudla je v tom, že uživatelé s omezenými právy mohou z registru zjistit, které cesty, soubory a přípony nesmí program Defender kontrolovat. Bezpečnostní expert Antonio Cocomazzi, kterému je také připisován objev zranitelnosti označované jako RemotePotato0, poznamenává, že tyto informace nejsou nijak zabezpečené.
Stačí použít příkaz Kolomazi „reg query“ s příslušnými parametry, který odhalí, co má bezpečnostní program zakázáno kontrolovat, včetně souborů, složek, přípon a procesů. Odborník na zabezpečení systému Windows Nathan McNulty uvádí, že problém se vyskytuje pouze ve verzích 21H1 a 21H2 systému Windows 10 a netýká se Windows 11.
Když útočníci zjistí, které složky antivirové řešení nekontroluje, mohou pak ukládat a spouštět infikované soubory z těchto umístění, aniž by byly odhalené. Chris McCurley z Aura Information Security tvrdí, že si tohoto problému poprvé všiml již před osmi lety a okamžitě pochopil jeho potenciál pro škodlivé využití.
„Vždycky jsem si říkal, že kdybych byl vývojářem malwaru, prostě bych se podíval na vyloučené oblasti a ujistil se, že jsem svou aplikaci umístil do nekontrolované složky a/nebo ji pojmenoval stejně jako vyloučený název souboru nebo přípony,“ vysvětlil McCurley.