Hacker tận dụng điểm yếu tồn tại 8 năm của Microsoft Defender để vượt qua hệ thống phát hiện virus

Giống như bất kỳ phần mềm diệt virus nào khác, Microsoft Defender cho phép người dùng thêm vào các vị trí loại trừ (cục bộ hoặc trên mạng) trên hệ thống của họ. Khi quét virus, Microsoft Defender sẽ bỏ qua các khu vực, thư mục bị ngoại trừ này.

Thường thì người dùng sẽ tạo ra các khu vực ngoại trừ để ngăn phần mềm diệt virus ảnh hưởng tới các chức năng của ứng dụng chân chính nhưng bị phát hiện nhầm là virus.

Các nhà nghiên cứu bảo mật phát hiện ra rằng danh sách các vị trí bị loại trừ khỏi quá trình quét của Microsoft Defender không hề được bảo vệ. Điều này dẫn tới việc bất kỳ người dùng cục bộ nào cũng có thể truy cập vào danh sách này.

Hacker tận dụng điểm yếu tồn tại 8 năm của Microsoft Defender để vượt qua hệ thống phát hiện virus

Bất kể phân quyền gì, người dùng đều có thể truy cập Registry và tìm ra danh sách các vị trí bị loại trừ khỏi quá trình quét. Sau đó, hacker sẽ cấy virus vào các vị trí bị loại trừ ấy và thực thi mã độc mà không sợ bị phát hiện.

Vì danh sách thư mục, vị trí bị loại trừ của mỗi người dùng là khác nhau nên không có cách xác định chung cho mọi máy tính. Điều này cũng giúp hacker che dấu hành vi của chúng dễ dàng hơn.

Trang tin BleepingComputer đã tiến hành thử nghiệm để xác nhận vấn đề. Quá trình thử nghiệm cho thấy một ransomware được thự thi từ một thư mục bị loại trừ đã có thể chạy và mã hóa toàn bộ máy tính mà không bị cản trở hay cảnh báo từ Microsoft Defender.

Một chuyên ra tư vấn bảo mật đã phát hiện vấn đề này từ 8 năm trước và nhận ra những lợi thế mà nó mang lại cho các hacker.

Do thời gian tồn tại quá dài mà Microsoft chưa có động thái vá lỗi nên người dùng và quản trị viên nên chủ động bảo vệ mình bằng cách cấu hình một cách chuẩn xác nhất khu vực loại trừ trên máy chủ và máy cục bộ thông qua các chính sách nhóm.

Thứ Sáu, 14/01/2022 15:24
4,54 👨 3.391
1 Bình luận
Sắp xếp theo
  • Phan Nhật Vinh
    Phan Nhật Vinh Xin tip: truy cập Registry và tìm ra danh sách các vị trí bị loại trừ khỏi quá trình quét Đi admin
    Thích Phản hồi 21:15 14/01
    • Kyr Doo-Hyun
      Kyr Doo-Hyun

      tự tìm hiểu thôi bro

      Thích Phản hồi 6 ngày trước
    • Hikirai Hoshi
      Hikirai Hoshi @Kyr Doo-Hyun trả lời như không trả lời vậy :) 
      Thích Phản hồi 6 ngày trước
    • Kyr Doo-Hyun
      Kyr Doo-Hyun @Hikirai Hoshi cơ bản là vấn đề này nó nhạy cảm, mình chỉ cho bạn rồi bạn hack máy tính ng khác thì hóa ra mình thành đồng phạm à :)))
      Thích Phản hồi 4 ngày trước