Microsoft verhelpt Defender-kwetsbaarheid waarmee antivirus omzeild kon worden

Microsoft heeft een kwetsbaarheid in zijn Defender-antivirustool aangepakt zonder hier ruchtbaarheid aan te geven. De wijziging maakt dat het niet meer mogelijk is om via een bepaalde methode malware te plaatsen zonder dat Defender alarm slaat.

De wijziging is in de afgelopen week doorgevoerd en maakt dat nu standaard beheerdersrechten vereist zijn om uitsluitingen via Windows Security en de registersleutel HKLM\Software\Microsoft\Windows Defender\Exclusions te benaderen. Voorheen was die sleutel voor iedere Windows-gebruiker uit het register op te vragen. De aanpassing werd opgemerkt door beveiligingsdeskundige SecGuru_OTX. Microsoft heeft er nog niets over gepubliceerd.

De sleutel bevat een lijst van bestanden, mappen en andere locaties die Defender moet uitsluiten bij het scannen naar malware. Kwaadwillenden konden deze mogelijkheid misbruiken om locaties uit te sluiten en daar malware te plaatsen, die dan onopgemerkt zou blijven door Defender, schrijft Bleeping Computer. Het feit dat er geen beheerdersrechten vereist waren, maakte het risico op misbruik aanzienlijk groter. De kwetsbaarheid zou al sinds 2014 aanwezig zijn geweest en werkte ook in combinatie met Group Policies.

Bron: SecGuru_OTX

Reacties (18)

Triblade_8472 11 februari 2022 14:31

Ouch, dat is best een extreem probleem geweest dan.

Zo'n simpele key uitlezen kan je product volledig onschadelijk maken.

Overigens klopt het artikel niet helemaal.
"Kwaadwillenden konden deze mogelijkheid misbruiken om locaties uit te sluiten [...]". Kwaadwillenden konden de lijst uitlezen en aan de hand hiervan zien waar ze hun payload 'veilig' konden plaatsen en hiervandaan uitvoeren.

Godson-2 @Triblade_8472 • 11 februari 2022 14:43

Dat lijkt mij een gat groot genoeg om een 10-tonner doorheen te rijden, zou ik zeggen.

Erg knullig weer dit. Maar volgens mij heeft elk antivirus programma dit soort lijsten. Of ze moeten op basis van heuristics werken.

[Reactie gewijzigd door Godson-2 op 24 juli 2024 13:47]

fastedje @Godson-2 • 12 februari 2022 11:33

De achterliggende oorzaak is dat de Windows registry een grote vergaarbak is van settings voor programma's. Op linux zie een vrij simpele manier om dit te voorkomen: ieder programma heeft een eigen comfig file (als het goed is in (/etc), waar je vertrouwelijke zaken met file permissions dicht kan zetten.

Ventieldopje @Godson-2 • 11 februari 2022 16:02

Ook al werk je met heuristics (zoals bijna elke AV vermoed ik?), dan heb je alsnog dit soort lijsten. In sommige gevallen wil je niet dat bepaalde content gescand wordt en telkens aangemerkt wordt voor van alles en nog wat, of dat de AV een programma tegenwerkt o.i.d.

Maar dan nog, die lijsten hoor je niet zo inzichtelijk te maken. Zeer grote oef.

henk717 11 februari 2022 14:52

Daar gaat me script, maar goed het zal mij nu nog niet raken gezien ik mijn script welke windows naar wens insteld voor de update zal draaien.

Update: Script kan blijkbaar nog wel want de manier waarop is niet geraakt, je kunt namelijk via powershell scripten welke uitzonderingen er moeten zijn. Dus aan zich zou malware dit na kunnen doen om ook (met admin) een uitzondering toe te voegen aan de scan locaties waarna het daarna dus onopgemerkt zal blijven.

[Reactie gewijzigd door henk717 op 24 juli 2024 13:47]

Sinnergy @henk717 • 11 februari 2022 15:25

Je moet dan wel eerst al malware draaien als admin, daar loopt het dan al mis vind ik.

PolarBear @Sinnergy • 11 februari 2022 15:37

Inderdaad een gevalletje "It rather involved being on the other side of this airtight hatchway".

Lick_A_Brick @henk717 • 11 februari 2022 15:23

Het gevaar was meer om uit te lezen wat de exclusions precies waren zodat je malware zichzelf hier neer kon zetten. Jij praat over het aanmaken van exclusions, dit is natuurlijk altijd mogelijk zolang je administrator bent op je systeem.

ESET (Business) lost dit bijv. op door een extra 'config password' toe te voegen die benodigd is als je settings wilt aanpassen, ben je local admin dan kun je nog niks toevoegen aan de lijst.

PolarBear @Lick_A_Brick • 11 februari 2022 15:32

ESET (Business) lost dit bijv. op door een extra 'config password' toe te voegen die benodigd is als je settings wilt aanpassen, ben je local admin dan kun je nog niks toevoegen aan de lijst.

Dit zegt natuurlijk nog steeds niet. Als ESET het vervolgens in een leesbaar ini bestandje zet heb je nog steeds niets. Ondanks het extra wachtwoord.

Lick_A_Brick @PolarBear • 11 februari 2022 16:34

Dit ging meer over het gedeelte 'nieuwe exclusion regels toeveogen'. In het geval van defender kun je deze toevoegen als je administrator bent, bij ESET heb je hierna nog een extra wachtwoord nodig.

SED @henk717 • 11 februari 2022 17:04

Als admin hoef je niet zo moeilijk te doen.

Verwijderd 11 februari 2022 21:18

Gebruik al lange tijd geen defender meer sinds whitelist totaal negeert wordt ben ik weer terug geswitched na nod32

Razwer 12 februari 2022 20:13

Tjah dat defender zo lek als een mandje is en slechte security bied is geen verrassing.
Überhaupt is signature AV niet meer van deze tijd. Next-Gen AI spul als BlackBerry Cylance Protect is de toekomst.

Skamba @Razwer • 13 februari 2022 11:33

Onzin. Microsoft Defender scoort in de top. Zie bijvoorbeeld https://www.microsoft.com...platforms-magic-quadrant/

Razwer @Skamba • 13 februari 2022 12:17

Gartner scoort niet op kwaliteit maar op populariteit. Een bakeoff verliest Defender altijd.
Gartner is de "miss universe" verkiezing onder de IT boeren.

MITRE is een veel betere maatstaaf en zelfs die is niet zaligmakend gezien dit over het algemeen synthetische tests bevat.

PM maar als je serieus bent, en als je wijsneus wilt spelen wens ik je verder prettige dag

[Reactie gewijzigd door Razwer op 24 juli 2024 13:47]

Henk Poley @Razwer • 14 februari 2022 09:03

Niet om het een of ander, maar ook Microsoft had 100% bescherming op de meest recente MITRE test met realistische CARBANAC/FIN7 malware: https://www.esecurityplan...-tests-endpoint-security/

Razwer @Henk Poley • 14 februari 2022 12:17

MITRE is niet zaligmakend zoals ik al zei. Als een McAfee en Symantec boven een BlackBerry Cylance, Crowdstrike en Sentinel One uit komen is er iets niet in de haak.

Vergeet niet dat MITRE een test is waarbij je de antwoorden krijgt voor de toets. En het ligt er helemaal aan of de vendor de software aanpast om 100% te slagen voor de toets of dat ze vertrouwen op de core functionaliteit die ze al hebben.
Om het in Microsoft fanboy taal uit te leggen: Baindumps leren voordat je je MCSE examen doet om 100% te scoren zegt weinig over je echte kennis. Terwijl een echte MVP misschien geen 100% score haalt en toch veel beter in de materie zit.
Zo werkt MITRE helaas ook heden ten dage.

Microsoft Defender ATP (zonder ATP is defender helemaal ruk) is kwalitatief boven de standaard signature based AV's (Symantec, McAfee, Sophos) maar onder de next-gen (BlackBerry Cylance, Crowdstrike, Sentinel One).

Signature based AV loop je altijd achter de feiten aan. Altijd moet er eerst een lammetje geslacht worden voordat je beschermd kan worden. Via Online extra bescherming krijgen werkt alleen ten dele gezien threat actors vaak dit al eerste af sluiten of bepaalde systemen niet direct online kunnen/mogen zijn.

Security is niet de primaire focus van Microsoft. Defender is lekker makkelijk en goedkoop, en elke boerenknul met MCP/YouTube kennis kan het bedienen. Maar in de EPP/EDR wereld is het nog steeds het lachertje van de klas.

Razwer @Skamba • 13 februari 2022 13:49

En deze is ook nog niet gefixed door Microsoft
https://github.com/pwn1sher/KillDefender

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (18)

Sorteer op:

Weergave: