微软通过改变"排除"权限使恶意软件绕过Defender扫描变得更困难
然而,有一件事在两个评测机构当中却有着共同的观点:Microsoft Defender的得分在2021年下半年都变得更好。而且,随着进入2022年,它看起来还在改进。
账号为CISOwithHoodie的安全研究员注意到,微软最近对WindowsDefender Exclusions的权限做了一个非常重要的改变。以前,被排除的文件夹和目录对"所有人"可见,这可以通过注册表地址轻松获得:键名为"HKLM\Software\Microsoft\Windows Defender\Exclusions"。然而,在这次更新后,它被修改为只有具有管理员权限的人才能查看排除的文件和文件夹,如下图所示。
当人们试图使用命令行查询注册表地址以找到排除的文件时,会弹出一个错误信息,说访问被拒绝(如下图),而在早期,它会显示排除的文件和文件夹。
CERT的漏洞分析师Will Dorman也证实,基于注册表的策略变化现在也受到保护。
这样做的主要原因是当排除项对每个人都是可见的,威胁行为者可以很容易地在这些排除的文件夹中放置一个恶意的载荷,并完全绕过Windows Defender扫描。
今日评论
网友评论仅供其表达个人看法,并不表明网站立场。
最新评论(0)
暂无评论
热评新闻
+61
+86
+886
+852
+853
+64
