Уязвимость в Microsoft Defender позволяет любым пользователям Windows 10 видеть список исключения для сканирования
По информации Bleeping Computer, ИБ-эксперты обнаружили уязвимость в работе антивирусного приложения Microsoft Defender. Любой пользователь Windows 7 и 10 может видеть список исключения для сканирования с помощью команды reg query и определенного ключа в реестре.
Оказалось, что этой проблеме уже более 8 лет. В Windows 11 она устранена, а вот в Windows 10 версий 21H1 и 21H2 уязвимость доступна для использования.
Независимо от своих уровней доступа в системе локальный пользователь может запустить в командной строке команду reg query «HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions» /s, которая выдаст все папки в системе, которые антивирус Microsoft Defender не проверяет, а также файлы, расширения или процессы, указанные в настройках программы как исключения.
Помимо простого списка исключений Microsoft Defender, команда reg query также может выдавать и другие скрытые данные, например, исключения из дерева реестра с записями, в которых хранятся настройки групповой политики и другую конфиденциальную информацию.
Эксперты Bleeping Computer пояснили, что хотя это локальная уязвимость, но она достаточно серьезная, так как во многих корпоративных системах уже есть зловреды, которые могут с помощью reg query сканировать ПК пользователей и находить там места, где можно скрывать свои файлы и библиотеки от штатного антивируса или временно хранить нужные зловреды для будущего использования. Например, в таких папках можно хранить и запускать программы-вымогатели. В этом случае Microsoft Defender не отреагирует на это и не покажет никаких предупреждений.
ИБ-специалисты посоветовали системным администраторам для блокировки просмотра исключений Microsoft Defender с помощью reg query проводить настройку папок и ресурсов, которые не будет проверять антивирус, только с помощью групповых политик.
