Microsoft âm thầm vá lỗ hổng cho phép hacker vượt qua hệ thống phát hiện virus trên Defender

Microsoft âm thầm khắc phục vấn đề

*Update ngày 11/02/2021

Hiện tại, hacker không còn có thể khai thác được điểm yếu này nữa. Lý do là vì Microsoft vừa âm thầm khác phục nó bằng một bản cập nhật vá lỗi. Chuyên gia bảo mật SecGuru_OTX của Hà Lan đã phát hiện ra bản vá vào hôm thứ 5, 10/02/2021.

Trong khi đó, Antonio Cocomazzi của hãng SentinelOne xác nhận rằng lỗ hổng không còn khai thác được trên các hệ thống cài Windows 10 20H2. Điều này bắt đầu từ sau khi cài bản cập nhật Windows Patch Tuesday tháng 02/2022.

Một số người dùng nhận thấy sự thay đổi về quyền truy cập mới sau khi cài bản cập nhật Patch Tuesday tháng 02/2022.

Mặt khác, Will Dormann, một nhà phân tích lỗ hổng của CERT/CC, cho biết rằng có sự thay đổi về quyền truy cập mà không cần cài đặt bất kỳ cập nhật nào. Vì thế, nhiều khả năng Microsoft đã âm thầm đưa bản vá lỗ vào cả các bản cập nhật Windows và cập nhật bảo mật của Microsoft Defender.

Hiện tại, quyền trên cài đặt bảo mật nâng cao của Windows với các thư mục loại trừ cho Defender đã được cập nhật. Nhóm "Everyone" đã bị xóa bỏi khỏi quyền của key Registry.

Trên các hệ thống Windows 10 đã được thay đổi, người dùng bị yêu cầu quyền quản trị viên để có thể truy cập danh sách loại trừ qua dòng lệnh hoặc khi thâm chúng bằng màn hình cài đặt Windows Security.

Microsoft hiện vẫn chưa đưa ra bất cứ tuyên bố chính thức nào về lỗ hổng này. Vì vậy, vẫn chưa rõ quá trình triển khai bản vá cho tất cả các máy Windows 10 bị ảnh hưởng đã hoàn tất hay chưa.

Đọc thêm về lỗ hổng này trong phần bên dưới của bài viết:

Giống như bất kỳ phần mềm diệt virus nào khác, Microsoft Defender cho phép người dùng thêm vào các vị trí loại trừ (cục bộ hoặc trên mạng) trên hệ thống của họ. Khi quét virus, Microsoft Defender sẽ bỏ qua các khu vực, thư mục bị ngoại trừ này.

Thường thì người dùng sẽ tạo ra các khu vực ngoại trừ để ngăn phần mềm diệt virus ảnh hưởng tới các chức năng của ứng dụng chân chính nhưng bị phát hiện nhầm là virus.

Các nhà nghiên cứu bảo mật phát hiện ra rằng danh sách các vị trí bị loại trừ khỏi quá trình quét của Microsoft Defender không hề được bảo vệ. Điều này dẫn tới việc bất kỳ người dùng cục bộ nào cũng có thể truy cập vào danh sách này.

Bất kể phân quyền gì, người dùng đều có thể truy cập Registry và tìm ra danh sách các vị trí bị loại trừ khỏi quá trình quét. Sau đó, hacker sẽ cấy virus vào các vị trí bị loại trừ ấy và thực thi mã độc mà không sợ bị phát hiện.

Vì danh sách thư mục, vị trí bị loại trừ của mỗi người dùng là khác nhau nên không có cách xác định chung cho mọi máy tính. Điều này cũng giúp hacker che dấu hành vi của chúng dễ dàng hơn.

Trang tin BleepingComputer đã tiến hành thử nghiệm để xác nhận vấn đề. Quá trình thử nghiệm cho thấy một ransomware được thự thi từ một thư mục bị loại trừ đã có thể chạy và mã hóa toàn bộ máy tính mà không bị cản trở hay cảnh báo từ Microsoft Defender.

Một chuyên ra tư vấn bảo mật đã phát hiện vấn đề này từ 8 năm trước và nhận ra những lợi thế mà nó mang lại cho các hacker.

Do thời gian tồn tại quá dài mà Microsoft chưa có động thái vá lỗi nên người dùng và quản trị viên nên chủ động bảo vệ mình bằng cách cấu hình một cách chuẩn xác nhất khu vực loại trừ trên máy chủ và máy cục bộ thông qua các chính sách nhóm.