Microsoft ha risolto la vulnerabilità di Defender che poteva essere sfruttata per aggirare la rilevazione dei malware. Il bug, che esisteva dal 2014, permetteva ai malintenzionati di accedere facilmente alla lista delle directory escluse dalla scansione.
Accesso solo per amministratori
Come altre soluzioni di sicurezza, Microsoft Defender permette agli utenti di indicare file, directory, estensioni e processi che devono essere esclusi dalla scansione. La lista viene memorizzata in due chiavi del registro (HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
e HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions
) che dovrebbero essere accessibili solo con i diritti di amministrazione. A causa del bug presente nell’antivirus per Windows 10, le chiavi potevano essere lette da tutti gli utenti.
Dopo aver scoperto le directory escluse dalla scansione, un malintenzionato avrebbe potuto copiare il malware nelle directory, evitando la rilevazione. Un esperto di sicurezza ha scoperto che la vulnerabilità è stata risolta, eliminando il gruppo “Everyone” dall’elenco dei permessi. L’accesso alle due chiavi del registro è ora possibile unicamente con i diritti di amministratore.
Secondo Antonio Cocomazzi di SentinelOne, il fix è stato distribuito insieme agli aggiornamenti cumulativi di febbraio. Un altro ricercatore di sicurezza afferma invece che i permessi sono stati modificati con l’aggiornamento di Microsoft Defender. Non è chiaro quindi il metodo scelto da Microsoft. In ogni caso, il problema è stato risolto. La vulnerabilità non è presente su Windows 11.