Windows Defender ha trovato un buco perenne

Microsoft Defender o "Windows Defender" come molti altri antivirus, consente di escludere determinati percorsi dall'elenco di scansione: cartelle locali e percorsi di rete. Ciò è utile, ad esempio, durante lo sviluppo di software o l'installazione di programmi erroneamente considerati malware.

Antonio Kocomazzi, esperto di sicurezza informatica di SentinelOne, capitoche l'elenco di tali percorsi sia archiviato in un formato non protetto. L'accesso è aperto a tutti gli utenti locali: possono scoprire quali file, cartelle, estensioni e processi vengono ignorati da Microsoft Defender. Per fare ciò, è sufficiente aprire la console di Windows e inserire il comando reg query, e specificare come parametro il nome del ramo corrispondente nel registro del sistema operativo.

Ottenere l'accesso all'account di un utente specifico nelle reti aziendali è un compito risolvibile, affermano gli esperti. Molte reti sono già state compromesse e i criminali informatici stanno solo aspettando il momento giusto per ottenere quante più informazioni preziose possibile. Poi è una questione di tecnica: basta posizionare il malware in directory non protette e dare il via all'attacco.

È già noto che una vulnerabilità in Microsoft Defender Antivirus esiste circa otto anni. Interessa le ultime versioni del sistema, ad esempio Windows 10 21H1 e Windows 10 21H2, dopo due importanti aggiornamenti regolari che gli sviluppatori rilasciano ogni sei mesi.

Lo specialista della sicurezza informatica Nathan McNulty notato, che cosa? Windows 11 non esiste un problema del genere. Ma in Windows 10, l'elenco di esclusione può essere ottenuto anche dall'albero delle voci del registro di sistema, che memorizza le impostazioni dei criteri di gruppo. Si tratta di informazioni più sensibili rispetto alle impostazioni per un utente specifico: vengono distribuite a gruppi di computer sulla rete.

Per proteggerti, devi assicurarti che il tuo sistema non sia stato violato e non contenga malware. Successivamente, vale la pena rafforzare le impostazioni di sicurezza e rivedere l'elenco dei percorsi esclusi dalla scansione di Microsoft Defender.