Microsoft corregge bug in Defender che permetteva il bypass delle scansioni

Una vulnerabilità che, se sfruttata localmente, permetteva l’interrogazione di una chiave di registro per ottenere i percorsi esclusi dalle scansioni di Windows Defender o Sicurezza di Windows.

Microsoft ha corretto la cosa con gli aggiornamenti di Febbraio, non è chiaro se tramite Windows Update oppure attraverso l’aggiornamento del motore dell’antivirus.

Lista dei percorsi esclusi in “chiaro”

Nello specifico il bug, come indicato da Antonio Cocomazzi, permetteva di interrogare tramite dei semplici comandi powershell la chiave di registro, che contiene i percorsi esclusi dalle scansioni antivirus, questo solo nei sistemi Windows 10:

HKLM\Software\Microsoft\Windows Defender\Exclusions

Questo con il comando reg query “HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions” /s che restituiva le seguenti voci (di default):

La chiave in questione, fino a prima dell’aggiornamento, era impostata su Everyone quindi chiunque poteva interrogarla ed ottenere i dati ivi contenuti.

Una volta ottenuta la lista un eventuale attaccante poteva veicolare successivamente un malware in uno dei percorsi esclusi dalla scansione, mettendo così tutto il sistema in pericolo.

L’aggiornamento è in fase di rollout e non tutti lo riceveranno contemporaneamente, anche se non è chiaro il metodo di rilascio utilizzato da Microsoft.

Via: BC

Articoli Correlati

Riscontrati problemi nei notebook DELL con l’Isolamento Core e BSOD Inaccessible-Boot-Device

Come re-installare Windows 11 senza perdere i dati (In-place Upgrade)

FIX Non puoi accedere qui con un account personale. Usa invece il tuo account aziendale o dell’istituto di istruzione in Outlook