Microsoft Defender: lista esclusioni non protetta
Topic
Approfondimenti
Trending
tutti

Microsoft Defender: lista esclusioni non protetta

A causa di un bug presente in Microsoft Defender è possibile scoprire la lista delle esclusioni e quindi copiare i malware in specifiche directory.
Microsoft Defender: lista esclusioni non protetta
Informatica Sistemi operativi
A causa di un bug presente in Microsoft Defender è possibile scoprire la lista delle esclusioni e quindi copiare i malware in specifiche directory.

Una grave vulnerabilità consente di accedere alla lista delle esclusioni di Microsoft Defender e quindi di copiare i malware nelle directory che l’antivirus non controlla durante la scansione. Il bug è stato evidenziato recentemente da Antonio Cocomazzi, il ricercatore di SentinelOne che ha scoperto la vulnerabilità RemotePotato0 in Windows, ma il problema esiste da almeno otto anni e ancora non è stato risolto.

Lista esclusioni accessibile a tutti

Come ogni soluzione di sicurezza, anche Microsoft Defender permette agli utenti di escludere file e directory dalla scansione. Ciò evita che un software legittimo possa essere considerato malware (falso positivo). Questo elenco è molto appetibile per i cybercriminali perché consente di individuare le posizioni in cui copiare i malware senza correre il rischio di essere rilevati.

I ricercatori di sicurezza, tra cui Antonio Cocomazzi, hanno scoperto che l’impostazione predefinita consente a tutti di accedere alla lista (non servono i privilegi di amministratore). È sufficiente il comando reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s per scoprire quali file, directory, estensioni e processi sono esclusi dalla scansione. La stessa informazione si può ottenere leggendo le impostazioni dei criteri di gruppo con il comando reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions" /s.

La vulnerabilità è presente in Windows 10 21H1 e 21H2, ma non in Windows 11. La redazione del sito BleepingComputer ha effettuato un test con il ransomware Conti, confermando che Microsoft Defender non rileva il malware se viene copiato in una directory esclusa dalla scansione. In attesa di un fix, che manca da quasi otto anni, è necessario controllare la lista delle esclusioni e/o utilizzare un’altra soluzione di sicurezza.

Fonte: BleepingComputer

Pubblicato il 17 gen 2022

Link copiato negli appunti

Ti potrebbe interessare

Microsoft Defender: l'anti-ransomware sfrutta l'AI

Microsoft Defender: l'anti-ransomware sfrutta l'AI
Microsoft: attacco distruttivo contro l'Ucraina

Microsoft: attacco distruttivo contro l'Ucraina
Windows 10 21H2: impostazioni di sicurezza per admin

Windows 10 21H2: impostazioni di sicurezza per admin
BackBox Linux 9: l'alternativa a Kali Linux si aggiorna

BackBox Linux 9: l'alternativa a Kali Linux si aggiorna
Microsoft Defender: l'anti-ransomware sfrutta l'AI

Microsoft Defender: l'anti-ransomware sfrutta l'AI
Microsoft: attacco distruttivo contro l'Ucraina

Microsoft: attacco distruttivo contro l'Ucraina
Windows 10 21H2: impostazioni di sicurezza per admin

Windows 10 21H2: impostazioni di sicurezza per admin
BackBox Linux 9: l'alternativa a Kali Linux si aggiorna

BackBox Linux 9: l'alternativa a Kali Linux si aggiorna
Luca Colantuoni
Pubblicato il
17 gen 2022
Link copiato negli appunti