Una grave vulnerabilità consente di accedere alla lista delle esclusioni di Microsoft Defender e quindi di copiare i malware nelle directory che l’antivirus non controlla durante la scansione. Il bug è stato evidenziato recentemente da Antonio Cocomazzi, il ricercatore di SentinelOne che ha scoperto la vulnerabilità RemotePotato0 in Windows, ma il problema esiste da almeno otto anni e ancora non è stato risolto.
Lista esclusioni accessibile a tutti
Come ogni soluzione di sicurezza, anche Microsoft Defender permette agli utenti di escludere file e directory dalla scansione. Ciò evita che un software legittimo possa essere considerato malware (falso positivo). Questo elenco è molto appetibile per i cybercriminali perché consente di individuare le posizioni in cui copiare i malware senza correre il rischio di essere rilevati.
Windows Defender AV allows Everyone to read the configured exclusions on the system ?
reg query "HKLMSOFTWAREMicrosoftWindows DefenderExclusions" /s pic.twitter.com/dpTFwMVRje
— Antonio Cocomazzi (@splinter_code) January 12, 2022
I ricercatori di sicurezza, tra cui Antonio Cocomazzi, hanno scoperto che l’impostazione predefinita consente a tutti di accedere alla lista (non servono i privilegi di amministratore). È sufficiente il comando reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s
per scoprire quali file, directory, estensioni e processi sono esclusi dalla scansione. La stessa informazione si può ottenere leggendo le impostazioni dei criteri di gruppo con il comando reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions" /s
.
La vulnerabilità è presente in Windows 10 21H1 e 21H2, ma non in Windows 11. La redazione del sito BleepingComputer ha effettuato un test con il ransomware Conti, confermando che Microsoft Defender non rileva il malware se viene copiato in una directory esclusa dalla scansione. In attesa di un fix, che manca da quasi otto anni, è necessario controllare la lista delle esclusioni e/o utilizzare un’altra soluzione di sicurezza.