Lezserül kezeli a beállításait a Microsoft víruskeresője

A Microsoft Defender vírusvédelmi eszköz bizonyos beállításait elég hanyag módon tárolja, amit a vírusterjesztők a saját javukra fordíthatnak.
 

A Microsoft Defender antivírus szerves részét képezi a Windows operációs rendszereknek, és sokszor - egyéb védelmi és víruskereső alkalmazások telepítésének hiányában - mindössze ez jelenti a legfontosabb védelmi vonalat a különféle kártékony programokkal szemben. Ezért aztán egyáltalán nem mindegy, hogy a feladatát milyen hatékonysággal látja el.
 
Antonio Cocomazzi, a SentinelOne biztonsági kutatója a legutóbbi vizsgálatai során a Microsoft Defendert vette alaposabban szemügyre, és ekkor jött rá, hogy az alkalmazás egyik sajátossága segítséget nyújthat a kiberbűnözők számára. A probléma nem új keletű, ugyanis kiderült, hogy már legalább 8 éve jelen van a rendszereken.
 
A szóban forgó rendellenességet lényegében az okozza, hogy a Microsoft Defender a felhasználó által beállított kivétellistát védtelenül tárolja. A kutató a fájlokhoz, mappákhoz, kiterjesztésekhez és folyamatokhoz rendelt kivételeket egy egyszerű lekérdezéssel ki tudta exportálni a Windows regisztrációs adatbázisából. Ehhez pedig nem volt szüksége kiemelt jogosultságokra, egy helyi felhasználói fiókkal is elvégezhető a biztonsági adatok kinyerése.
 
Felvetődhet a kérdés, hogy miért is aggasztja mindez a biztonsági kutatót. Elsősortban azért, mert ha a vírusterjesztők - minden különösebb erőfeszítés nélkül - le tudják kérdezni a kivétellistát, akkor már csak annyi dolguk van, hogy a célkeresztbe állított számítógépeken egy olyan mappába másolják be a károkozójukat, amiket a Defender figyelmen kívül hagy az ellenőrzése során.
 
Az eddigi vizsgálatok szerint a Windows 10 esetében még a 21H2 kiadás is érintett, de a Windows 11 már nem. A legújabb operációs rendszerének fejlesztésekor a Microsoft már gondolt e rendellenességre, ugyanakkor azt egyelőre nem közölte, hogy a Windows 10 esetében kíván-e javítani a helyzeten.