微軟 Microsoft Defender 在防毒評測平台 AV-TEST 於 2021 年底的最新排名中表現出色,獲得高度評價;但另一個資安評測平台 AV-Comparatives 對 Defender 的評價就相對遜色了。
儘管評測結果成績不同,但這兩個平台都認為 Microsoft Defender 的表現愈來愈好、在 2022 年也持續改進,甚至有資安人員發現微軟將調整權限,讓惡意軟體愈來愈難繞過 Defender 資安工具。
資安人員 CISOwithHoodie 發現 Defender 將進行重大調整,同時也在個人 Twitter 上發表。
CISOwithHoodie 透露微軟修改 Windows Defender Exclusions 的權限,以往所有使用者可透過 Registry address 通用暫存器位址輕鬆瀏覽檢視 Excluded 檔案夾和目錄讓。然而,在這次更新後,它被修改為只有具有管理員權限的人才能查看 Exclusions 的文件和文件夾。
After applying the MS February 2022 updates, this isn't the case anymore....
— CISOwithHoodie (@SecGuru_OTX) February 10, 2022
Windows Defender https://t.co/FLBxy0WhyP
簡單說,當使用者試圖使用終端機指令查詢 Registry address 通用暫存器位址以找到 Excluded 檔案夾時,會跳出一個錯誤提醒,說訪問被拒絕,而在早期它會顯示排除的文件和文件夾。
這問題就連 CERT 漏洞分析師 Will Dorman 也發現了,基於 Registry address 通用暫存器位址的策略變化,Excluded 檔案夾現在也受到保護。
如果 Excluded 資料夾是每個人都能瀏覽時,駭客就能繞過 Windows Defender 防毒軟體掃描,在電腦裡放置惡意軟體,也因此這次微軟的修改調整很重要。
《原文刊登於合作媒體三嘻行動哇,聯合新聞網獲授權轉載》
