Microsoft verhelpt Defender-kwetsbaarheid waarmee antivirus omzeild kon worden

Microsoft heeft een kwetsbaarheid in zijn Defender-antivirustool aangepakt zonder hier ruchtbaarheid aan te geven. De wijziging maakt dat het niet meer mogelijk is om via een bepaalde methode malware te plaatsen zonder dat Defender alarm slaat.

De wijziging is in de afgelopen week doorgevoerd en maakt dat nu standaard beheerdersrechten vereist zijn om uitsluitingen via Windows Security en de registersleutel HKLM\Software\Microsoft\Windows Defender\Exclusions te benaderen. Voorheen was die sleutel voor iedere Windows-gebruiker uit het register op te vragen. De aanpassing werd opgemerkt door beveiligingsdeskundige SecGuru_OTX. Microsoft heeft er nog niets over gepubliceerd.

De sleutel bevat een lijst van bestanden, mappen en andere locaties die Defender moet uitsluiten bij het scannen naar malware. Kwaadwillenden konden deze mogelijkheid misbruiken om locaties uit te sluiten en daar malware te plaatsen, die dan onopgemerkt zou blijven door Defender, schrijft Bleeping Computer. Het feit dat er geen beheerdersrechten vereist waren, maakte het risico op misbruik aanzienlijk groter. De kwetsbaarheid zou al sinds 2014 aanwezig zijn geweest en werkte ook in combinatie met Group Policies.

Windows Defender ExclusionsWindows Defender Exclusions

Bron: SecGuru_OTX

Door Olaf van Miltenburg

Nieuwscoördinator

11-02-2022 • 14:24

18

Reacties (18)

Sorteer op:

Weergave:

Ouch, dat is best een extreem probleem geweest dan.

Zo'n simpele key uitlezen kan je product volledig onschadelijk maken.

Overigens klopt het artikel niet helemaal.
"Kwaadwillenden konden deze mogelijkheid misbruiken om locaties uit te sluiten [...]". Kwaadwillenden konden de lijst uitlezen en aan de hand hiervan zien waar ze hun payload 'veilig' konden plaatsen en hiervandaan uitvoeren.
Dat lijkt mij een gat groot genoeg om een 10-tonner doorheen te rijden, zou ik zeggen.

Erg knullig weer dit. Maar volgens mij heeft elk antivirus programma dit soort lijsten. Of ze moeten op basis van heuristics werken.

[Reactie gewijzigd door Godson-2 op 24 juli 2024 13:47]

De achterliggende oorzaak is dat de Windows registry een grote vergaarbak is van settings voor programma's. Op linux zie een vrij simpele manier om dit te voorkomen: ieder programma heeft een eigen comfig file (als het goed is in (/etc), waar je vertrouwelijke zaken met file permissions dicht kan zetten.
Ook al werk je met heuristics (zoals bijna elke AV vermoed ik?), dan heb je alsnog dit soort lijsten. In sommige gevallen wil je niet dat bepaalde content gescand wordt en telkens aangemerkt wordt voor van alles en nog wat, of dat de AV een programma tegenwerkt o.i.d.

Maar dan nog, die lijsten hoor je niet zo inzichtelijk te maken. Zeer grote oef.
Daar gaat me script, maar goed het zal mij nu nog niet raken gezien ik mijn script welke windows naar wens insteld voor de update zal draaien.

Update: Script kan blijkbaar nog wel want de manier waarop is niet geraakt, je kunt namelijk via powershell scripten welke uitzonderingen er moeten zijn. Dus aan zich zou malware dit na kunnen doen om ook (met admin) een uitzondering toe te voegen aan de scan locaties waarna het daarna dus onopgemerkt zal blijven.

[Reactie gewijzigd door henk717 op 24 juli 2024 13:47]

Je moet dan wel eerst al malware draaien als admin, daar loopt het dan al mis vind ik.
Het gevaar was meer om uit te lezen wat de exclusions precies waren zodat je malware zichzelf hier neer kon zetten. Jij praat over het aanmaken van exclusions, dit is natuurlijk altijd mogelijk zolang je administrator bent op je systeem.

ESET (Business) lost dit bijv. op door een extra 'config password' toe te voegen die benodigd is als je settings wilt aanpassen, ben je local admin dan kun je nog niks toevoegen aan de lijst.
ESET (Business) lost dit bijv. op door een extra 'config password' toe te voegen die benodigd is als je settings wilt aanpassen, ben je local admin dan kun je nog niks toevoegen aan de lijst.
Dit zegt natuurlijk nog steeds niet. Als ESET het vervolgens in een leesbaar ini bestandje zet heb je nog steeds niets. Ondanks het extra wachtwoord.
Dit ging meer over het gedeelte 'nieuwe exclusion regels toeveogen'. In het geval van defender kun je deze toevoegen als je administrator bent, bij ESET heb je hierna nog een extra wachtwoord nodig.
Als admin hoef je niet zo moeilijk te doen.
Gebruik al lange tijd geen defender meer sinds whitelist totaal negeert wordt ben ik weer terug geswitched na nod32
Tjah dat defender zo lek als een mandje is en slechte security bied is geen verrassing.
Überhaupt is signature AV niet meer van deze tijd. Next-Gen AI spul als BlackBerry Cylance Protect is de toekomst.
Onzin. Microsoft Defender scoort in de top. Zie bijvoorbeeld https://www.microsoft.com...platforms-magic-quadrant/
Gartner scoort niet op kwaliteit maar op populariteit. Een bakeoff verliest Defender altijd.
Gartner is de "miss universe" verkiezing onder de IT boeren.

MITRE is een veel betere maatstaaf en zelfs die is niet zaligmakend gezien dit over het algemeen synthetische tests bevat.

PM maar als je serieus bent, en als je wijsneus wilt spelen wens ik je verder prettige dag :)

[Reactie gewijzigd door Razwer op 24 juli 2024 13:47]

Niet om het een of ander, maar ook Microsoft had 100% bescherming op de meest recente MITRE test met realistische CARBANAC/FIN7 malware: https://www.esecurityplan...-tests-endpoint-security/
MITRE is niet zaligmakend zoals ik al zei. Als een McAfee en Symantec boven een BlackBerry Cylance, Crowdstrike en Sentinel One uit komen is er iets niet in de haak.

Vergeet niet dat MITRE een test is waarbij je de antwoorden krijgt voor de toets. En het ligt er helemaal aan of de vendor de software aanpast om 100% te slagen voor de toets of dat ze vertrouwen op de core functionaliteit die ze al hebben.
Om het in Microsoft fanboy taal uit te leggen: Baindumps leren voordat je je MCSE examen doet om 100% te scoren zegt weinig over je echte kennis. Terwijl een echte MVP misschien geen 100% score haalt en toch veel beter in de materie zit.
Zo werkt MITRE helaas ook heden ten dage.

Microsoft Defender ATP (zonder ATP is defender helemaal ruk) is kwalitatief boven de standaard signature based AV's (Symantec, McAfee, Sophos) maar onder de next-gen (BlackBerry Cylance, Crowdstrike, Sentinel One).

Signature based AV loop je altijd achter de feiten aan. Altijd moet er eerst een lammetje geslacht worden voordat je beschermd kan worden. Via Online extra bescherming krijgen werkt alleen ten dele gezien threat actors vaak dit al eerste af sluiten of bepaalde systemen niet direct online kunnen/mogen zijn.

Security is niet de primaire focus van Microsoft. Defender is lekker makkelijk en goedkoop, en elke boerenknul met MCP/YouTube kennis kan het bedienen. Maar in de EPP/EDR wereld is het nog steeds het lachertje van de klas.
En deze is ook nog niet gefixed door Microsoft
https://github.com/pwn1sher/KillDefender

Op dit item kan niet meer gereageerd worden.