微软通过改变"排除"权限使恶意软件绕过Defender扫描变得更困难

2022年02月12日 00:01 次阅读 稿源:cnBeta.COM 条评论

Microsoft Defender一直受到高度赞扬,它在AV-TEST的2021年12月和2021年10月的最新排名中得分特别也好。然而,AV-Comparatives认为Defender稍逊一筹,至少与它的一些替代品如McAfee相比都是如此。

然而,有一件事在两个评测机构当中却有着共同的观点:Microsoft Defender的得分在2021年下半年都变得更好。而且,随着进入2022年,它看起来还在改进。

图片.png

账号为CISOwithHoodie的安全研究员注意到,微软最近对Windows Defender Exclusions的权限做了一个非常重要的改变。以前,被排除的文件夹和目录对"所有人"可见,这可以通过注册表地址轻松获得:键名为"HKLM\Software\Microsoft\Windows Defender\Exclusions"。然而,在这次更新后,它被修改为只有具有管理员权限的人才能查看排除的文件和文件夹,如下图所示。

1644583953_ms_defender_exclusions_updated_(via-_cisowithhoodie_twitter).jpg

当人们试图使用命令行查询注册表地址以找到排除的文件时,会弹出一个错误信息,说访问被拒绝(如下图),而在早期,它会显示排除的文件和文件夹。

1644583947_ms_defender_exclusions_reg_query_denied_(via-_cisowithhoodie_twitter).jpg

CERT的漏洞分析师Will Dorman也证实,基于注册表的策略变化现在也受到保护。

这样做的主要原因是当排除项对每个人都是可见的,威胁行为者可以很容易地在这些排除的文件夹中放置一个恶意的载荷,并完全绕过Windows Defender扫描。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。

对文章打分

微软通过改变"排除"权限使恶意软件绕过Defender扫描变得更困难

4 (44%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      Top 10

      招聘

      created by ceallan