Баг Microsoft Defender позволяет вычислить защищённые от сканирования папки

Баг Microsoft Defender позволяет вычислить защищённые от сканирования папки

Уязвимость встроенного в Windows антивируса Microsoft Defender позволяет потенциальным злоумышленникам вычислить, какие директории исключены из сканирования. Далее атакующим остаётся просто положить вредонос в одну из таких папок, что поможет обойти сканер защитного продукта.

По словам ряда пользователей, эта проблема существует как минимум восемь лет и затрагивает Windows 10 21H1 и Windows 10 21H2.

Как и любой другой антивирус, Microsoft Defender позволяет пользователям добавлять определённые директории, которые программа будет обходить при сканировании на наличие вредоносных программ. Как правило, такие исключения используются в случае ложноположительных срабатываний на какой-либо софт.

Поскольку от пользователя к пользователю защищённые каталоги будут отличаться, для киберпреступника это крайне ценная информация. Узнав, какие папки Microsoft Defender обходит при сканировании, атакующий может положить вредоносную программу именно туда.

Независимо от привилегий, которыми обладает пользователь, он может запросить в системном реестре Windows всю необходимую информацию о путях-исключениях в Microsoft Defender.

 

Антонио Кокомаци из SentinelOne считает, что такая информация должна быть защищена в операционной системе. Тем не менее она открыта любому в Windows 10 версий 21H1 и 21H2. А вот Windows 11 эта проблема уже не затрагивает.

Специалисты BleepingComputer провели тесты, которые подтвердили, что вредоносная программа из исключённой директории запускается безо всяких препятствий со стороны встроенного антивируса. Исследователи использовали в ходе тестирования семейство программ-вымогателей Conti, которое легко детектируется Microsoft Defender в любой нормальной папке.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Подтверждена совместимость СУБД Jatoba с процессорами Baikal

Газинформсервис и Байкал Электроникс успешно завершили серию проверок совместимости продуктов собственной разработки. Успешно завершена серия испытаний на корректность совместного функционирования системы управления базами данных (СУБД) Jatoba, разработанной компанией «Газинформсервис», и процессора BE-M1000 производства АО «Байкал Электроникс».

СУБД Jatoba — защищенная СУБД, в которой реализованы кластерные решения, обеспечивающие высокий уровень ее отказоустойчивости и производительности. Продукт позволяет организовать круглосуточную безопасную работу с данными.

BE-M1000 — это современный энергоэффективный процессор для широкого спектра устройств, предназначенных для частных пользователей, бизнеса и госсектора. Продукт создан на базе архитектуры Armv8-A и оснащен восемью ядрами Arm Cortex™-A57. В качестве его ключевых характеристик производитель выделяет рабочую частоту до 1,5 ГГц, наличие графического процессора Arm Mali™-T628 с 8 ядрами, двух каналов памяти DDR4-2400, более 15 интегрированных высокоскоростных интерфейсов, технологический процесс 28 нм и потребляемую мощность менее 35 Вт. Решение подходит для применения в моноблоках, системных блоках ПК, минисерверах, межсетевых экранах, платежных терминалах, системах хранения данных, видеонаблюдения и множестве других устройств.

«Сейчас одна из наиболее актуальных тем в сфере как программного, так и аппаратного обеспечения – это импортозамещение. Сегодня это необходимость, с которой сталкиваются в том числе пользователи иностранных СУБД. Мы будем продолжать расширять линейки совместимостей СУБД Jatoba с продуктами отечественной разработки», — прокомментировал результаты тестирования менеджер по продукту СУБД Jatoba Константин Семенчук.

«Российским ИТ-вендорам сейчас крайне важно развивать сотрудничество, чтобы конечные пользователи даже в сегодняшних реалиях имели доступ к широкому стеку совместимых востребованных программных и аппаратных средств. Мы благодарны коллегам из компании «Газинформсервис» за конструктивное и эффективное взаимодействие. Благодаря этой кооперации мы можем гарантировать, что устройства на базе BE-M1000 поддерживают СУБД Jatoba, один из наиболее востребованных инфраструктурных продуктов», — прокомментировал Виталий Богданов, директор по развитию АО «Байкал Электроникс».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru