A Microsoft acaba de corrigir uma falha no Windows Defender. A falha encontrada e agora corrigida, permitia que invasores plantassem e executassem cargas maliciosas sem acionar o mecanismo de detecção de malware do Defender.
Falha de segurança encontrada no Windows Defender
Essa falha de segurança afetou as versões mais recentes do Windows 10, e os invasores de ameaças podem abusar dela desde pelo menos 2014. A falha resultou de configurações de segurança frouxas para a chave do Registro “HKLM\Software\Microsoft\Windows Defender\Exclusions”. Essa chave contém a lista de locais (arquivos, pastas, extensões ou processos) excluídos da verificação do Microsoft Defender.
A exploração da fraqueza foi possível porque a chave do Registro estava acessível pelo grupo ‘Todos’, conforme mostrado na imagem abaixo.
Isso tornou possível para usuários locais acessá-lo por meio da linha de comando consultando o Registro do Windows. Depois de descobrir quais pastas foram adicionadas à lista de exclusão de antivírus, os invasores podem entregar e executar malware de uma pasta excluída em um sistema Windows comprometido sem temer que sua carga maliciosa seja detectada e neutralizada.
Ao explorar essa falha do Windows Defender, o BleepingComputer pôde executar uma amostra do Conti ransomware de uma pasta excluída e criptografar um sistema Windows sem nenhum aviso ou sinal de detecção do Microsoft Defender.
Falha de segurança corrigida pela Microsoft
A Microsoft já abordou a falha por meio de uma atualização silenciosa, conforme detectado pelo especialista em segurança holandês SecGuru_OTX na quinta-feira. Alguns usuários estão vendo a nova alteração de permissão após instalar as atualizações cumulativas do Windows Patch Tuesday de fevereiro de 2022.
No entanto Will Dormann, analista de vulnerabilidades do CERT/CC, observou que recebeu a alteração de permissões sem instalar nenhuma atualização, indicando que a alteração pode ser adicionada por atualizações do Windows e atualizações de inteligência de segurança do Microsoft Defender.
A Atualização
O BleepingComputer confirmou que as permissões nas configurações de segurança avançadas do Windows para exclusões do Defender foram realmente atualizadas, com o grupo ‘Todos’ removido das permissões da chave do Registro.
Nos sistemas Windows 10 em que essa alteração já foi implementada, os usuários agora precisam ter privilégios de administrador para poder acessar a lista de exclusões por meio da linha de comando ou ao adicioná-los usando a tela de configurações de segurança do Windows.
A alteração foi lançada desde nosso relatório anterior, mas, no momento, apenas a Microsoft sabe como foi enviada para os sistemas Windows 10 afetados. Um porta-voz da empresa não estava disponível para comentar quando contatado pelo BleepingComputer.
Via: BleepingComputer
