تم اكتشاف ثغرة في برنامج مكافحة الفيروسات Microsoft Defender المجاني على ويندوز 10، تجعل من السهل تجاوز أنظمة الدفاع الخاصة بالبرنامج. يمكن للمتسلل اكتشاف المواقع المستبعدة بواسطة أداة الفحص وتثبيت جميع أنواع البرامج الضارة.
يعد برنامج مكافحة الفيروسات Microsoft Defender، حل الأمان المتاح مجانًا على أجهزة الكمبيوتر التي تعمل بنظامي التشغيل ويندوز 10 و ويندوز 11، بالإضافة إلى الإصدارات الحديثة من Windows Server. هذا البرنامج لم يسلم من الثغرات الأمنية. حيث تم اكتشاف واحدة تسمح بتثبيت البرامج الضارة في وضع التخفي.
بشكل أدق ، أصل المشكل هو الملفات التي سيتم استبعادها أثناء فحص الفيروسات لبرنامج Microsoft Defender. في الواقع، تكون قائمة العناصر المستبعدة مرئية لجميع مستخدمي الكمبيوتر الشخصي. لذلك، يمكن للمتسلل الذي يتحكم في الكمبيوتر تثبيت أي برامج ضارة وتنفيذها، دون القلق من نظام التشغيل.
يسمح هذا الخلل بتجاوز دفاعات برنامج Microsoft Defender
بغض النظر عن برنامج الأمان المستخدم، فإنه عادة ما يسمح باستبعاد مجلدات وملفات معينة من الفحص. ميزة يقدرها مستخدمو مولدات المفاتيح المقرصنة بلا شك، ولكن ليس فقط … يتم الإبلاغ عن خطأ في بعض الأحيان في بعض التطبيقات الحديثة جدًا (من Github، على سبيل المثال)، أو ضغطها باستخدام برنامج غير قياسي مصاب ببرامج ضارة. يتم بعد ذلك عزل هذه الإيجابيات المزيفة بواسطة أداة فحص الفيروسات أو حذفها مباشرة من القرص الصلب.
هذا هو السبب في أن برامج مكافحة الفيروسات تسمح لك بتحديد المواقع التي يجب حذفها عند فحص القرص الصلب للكمبيوتر. ولكن في حالة برنامج Microsoft Defender، هناك مشكلة وهي مهمة: يتم تخزين قائمة الملفات التي سيتم حذفها في وضع واضح على الكمبيوتر. إذا كان من الممكن عرض هذه القائمة محليًا فقط (لذلك يجب أن تتحكم في جهاز كمبيوتر)، يمكن لأي مستخدم عرض محتوياتها. وبغض النظر عن حقوق الوصول الخاصة بهم: يتم ترحيل المسؤولين والضيوف على حد سواء إلى نفس الخطة. يسمح التنفيذ البسيط للأمر req query، من نظام التشغيل ويندوز 10، بسرد جميع العناصر التي لم يتم فحصها بواسطة برنامج مكافحة الفيروسات، سواء كانت ملفًا أو مجلدًا أو امتدادًا أو عملية.
لذلك، يمكن للمهاجم حفظ البرامج الضارة في المجلد الذي تم حذفه أثناء الفحص وتنفيذه بعد ذلك، دون أن يقوم Microsoft Defender برفع إشارة الإنذار. هذه هي التجربة التي تم تنفيذها بنجاح على موقع Bleeping Computer. وفقًا لخبير الأمان ناثان ماكنولتي، فإن الخلل يؤثر على نظامي التشغيل Windows 10 21H1 و Windows 10 21H2. من ناحية أخرى، لا يبدو أنه يتعلق بـ ويندوز 11، وهو أمر جيد بالفعل لأولئك الذين هاجروا إلى الإصدار الجديد من نظام التشغيل. ومع ذلك، لم تتخذ مايكروسوفت أي تصحيحات منذ اكتشاف هذا الخرق.