微软终于通过更改排除权限使绕过 Defender 扫描变得更加困难

1616330026_microsoftdefender_story-2

微软的 Defender 最近在 AV-TEST 的 2021 年12 月2021 年 10 月的最新排名中得分异常出色,获得了高度评价。然而,至少与 McAfee 等一些替代产品相比,AV-Comparatives 对 Defender 的印象要差得多

不过,在这两种评估中,一件事肯定很常见。微软后卫的得分在 2021 年下半年肯定更好,这意味着雷德蒙德巨人在该领域取得了良好的进展。随着我们进入 2022 年,它看起来仍在改善。

一位 Twitter 用户名为 CISOwithHoodie 的安全研究人员注意到,微软最近对 Windows Defender 排除项的权限进行了非常重要的更改。以前,排除的文件夹和目录对“所有人”都是可见的,可以通过注册表地址轻松获取:“HKLM\Software\Microsoft\Windows Defender\Exclusions”。

但是,在此更新之后,它已被修改为只有具有管理员权限的人才能查看排除的文件和文件夹,如下图所示:

1644583953_ms_defender_exclusions_updated_via-_cisowithhoodie_twitter

当人们现在尝试使用命令行查询注册表地址以查找排除项时,会弹出一条错误消息说访问被拒绝(下图),而之前,它会显示排除的文件和文件夹

1644583947_ms_defender_exclusions_reg_query_denied_via-_cisowithhoodie_twitter

CERT 的漏洞分析师 Will Dorman 也证实,基于注册表的策略更改现在也受到保护。

如果您想知道为什么这很重要,当每个人都可以看到排除项时,威胁参与者可以轻松地将恶意负载放入其中一个排除的文件夹中,并完全绕过 Windows Defender 扫描。

到目前为止,尚不清楚微软究竟如何虽然正在提供更新,但人们认为最近的2 月补丁星期二是引入更新的时间。

原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun129257.html

(0)
打赏 微信扫一扫不于多少! 微信扫一扫不于多少! 支付宝扫一扫礼轻情意重 支付宝扫一扫礼轻情意重
上一篇 2022年2月11日 下午6:18
下一篇 2022年2月16日 上午11:05

相关推荐