被微软也许的软件漏洞已存在8年之久

导 读过

研究部门发现Microsoft Defender（微软卫士）基本上参考资料的查询水管可以让攻击者将故意程序暂存在这些区域内，以藏身防毒的软件检测。据安全部门称，这些故意至少今年，甚至8同一时间就存在。

具 体 内 怀

同一天，才揭露USB over IP的软件故意的SentinelOne（反病毒预警的软件开发商）研究部门Antonio Cocomazzi，上周再继续揭露存在Defender防毒产品的故意。这是因为防毒产品扫瞄亦会致使系统效能下降、有时还亦会以致于而致使运作失常。因此，和所有其他防毒的软件一样，Defender也能让客户端旧版系统上的基本上位置，使防毒扫瞄综观那些区域。只要找到记录这些基本上位置的参考资料，攻击者就能将故意介面暂存在那些区域，而不必被防毒的软件检测到。

这就是Defender的故意所在。Cocomazzi发现只要在Windows中搜索「HKLMSOFTWAREMicrosoftWindowsDefenderExclusions」及「HKLMSOFTWAREPoliciesMicrosoftWindows DefenderExclusions」可以找到客户端对Defender旧版的基本上参考资料，即使是一般职权客户端也可借此GUI工具找到。此外，在PowerShell cmdlet命令中执行GetMpPreference，也可以存储到这参考资料，不过这须要具管理员职权。

Cocomazzi提到，这项的系统参考资料（access control list，ACL）组态错误故意，因素所有版Windows 10及Windows Server 2019，但不因素Windows 11。研究部门Nathan McNulty证实至少在今年释出的Windows 21H1及21H2，之前存在这故意。

代号SecurityAura的研究部门认为这故意至少之前存在8年。Paul Bolton今年5年末曾向微软安全研究中心通报这问题，但后者仅视为产品建议而未有动作。

McNulty提到PowerShell上很早以前即已限制存储职权，但GUI上的故意却从未解决。他还说，不昨天微软何时曾经加强过登录方式在（registry）的安全性。

媒体测试将假冒的软件样本暂存在Defender基本上参考资料的资料夹中，Defender果真不必显示出任何知情介面的强制执行。

目前，微软官方尚未做出说明。

没有灯、没有冷气、没有钱，这就是网络战期间乌克兰的境遇

KCodes NetUSB故意正因素数百万SOHO路由器

E周判读-安全危害情报周报

警惕！APT35的组织正借助 Log4j 故意递送新型模块化后门

展现出潜力的未来会：元宇宙将关上最初故意

苏格兰强制执行！俄罗斯舰船正在危害海底输电思科

强制执行！与Log4Shell相似的Java故意出现了