Microsoft heeft een kwetsbaarheid in zijn Defender-antivirustool aangepakt zonder hier ruchtbaarheid aan te geven. De wijziging maakt dat het niet meer mogelijk is om via een bepaalde methode malware te plaatsen zonder dat Defender alarm slaat.
De wijziging is in de afgelopen week doorgevoerd en maakt dat nu standaard beheerdersrechten vereist zijn om uitsluitingen via Windows Security en de registersleutel HKLM\Software\Microsoft\Windows Defender\Exclusions
te benaderen. Voorheen was die sleutel voor iedere Windows-gebruiker uit het register op te vragen. De aanpassing werd opgemerkt door beveiligingsdeskundige SecGuru_OTX. Microsoft heeft er nog niets over gepubliceerd.
De sleutel bevat een lijst van bestanden, mappen en andere locaties die Defender moet uitsluiten bij het scannen naar malware. Kwaadwillenden konden deze mogelijkheid misbruiken om locaties uit te sluiten en daar malware te plaatsen, die dan onopgemerkt zou blijven door Defender, schrijft Bleeping Computer. Het feit dat er geen beheerdersrechten vereist waren, maakte het risico op misbruik aanzienlijk groter. De kwetsbaarheid zou al sinds 2014 aanwezig zijn geweest en werkte ook in combinatie met Group Policies.
Bron: SecGuru_OTX