Microsoft Defender漏洞让恶意程序得以躲避侦测，至少存在1年

安全研究人员发现微软Microsoft Defender存在一项漏洞，能让攻击者用来躲避侦测植入恶意程序。安全研究人员相信这漏洞至少去年，甚至8年前就存在。

日前才揭露USB over IP软件漏洞的SentinelOne研究人员Antonio Cocomazzi，上周再揭露存在Defender防毒产品的漏洞。这是因为防毒产品扫瞄会造成系统效能下降、有时还会误判而造成运作失常，因此和所有其他防毒软件一样，Defender也让用户设定系统上的例外位置，使防毒扫瞄略过那些区域。只要找到记录这些例外位置的清单，攻击者就能将恶意程序储存在那些区域，而不会被防毒软体侦测到。

这就是Defender的漏洞所在。 Cocomazzi发现只要在Windows搜寻列中搜索「HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions」及「HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions」可以找到用户对Defender设定的例外列表，即使是一般权限用户也可通过GUI工具找到。此外，在PowerShell cmdlet指令中执行GetMpPreference，也可以访问到这信息，不过这需要具有管理员权限。

Cocomazzi指出，这项访问控制列表（access control list，ACL）配置存误漏洞，影响所有版本Windows 10及Windows Server 2019，但不影响Windows 11。研究人员Nathan McNulty证实至少在去年释出的Windows 21H1及21H2，已经存在这漏洞。

代号SecurityAura的研究人员相信这漏洞至少已经存在8年。 Paul Bolton去年5月曾向微软安全研究中心通报这问题，但后者仅视为产品建议而未有动作。

McNulty指出 PowerShell上很早以前即已限制存取权限，但GUI上的漏洞却未曾解决。他还说，不记得微软何时曾经强化过登录文件（registry）的安全性。

媒体测试将勒索软件样本储存在Defender例外列表的文件夹中，Defender果真不会显示出任何可疑程序的警告。

微软官方目前尚未做出说明。