Microsoft Defender ha un punto debole, noto da almeno otto anni, che potrebbe mettere a rischio la sicurezza dei sistemi che protegge. Riguarda Windows 10 21H1 e Windows 10 21H2 (non Windows 11) e consiste nell’accessibilità a persone non autorizzate della lista delle posizioni escluse dalla scansione antimalware. Se tale lista finisse nelle mani di un attaccante, potrebbe installare malware in quella posizione senza correre il rischio che venisse scoperto.

Per sfruttare questo punto debole è necessario l’acceso alla rete locale, che i cyber criminali ottengono puntualmente nella prima fase della catena di attacco, sfruttando credenziali rubate, phishing, servizi RDP esposti e altro. Una volta superato questo ostacolo, compiere movimenti laterali per andare alla ricerca delle posizioni escluse dalla scansione non è un grande ostacolo.

Le posizioni escluse

Come qualsiasi antivirus, anche Microsoft Defender consente agli utenti di aggiungere posizioni (locali o in rete) nei propri sistemi che devono essere escluse dalle scansioni malware. Si fa per impedire agli antivirus di influire sulla funzionalità di applicazioni legittime che vengono erroneamente rilevate come malware.

Il ricercatore di sicurezza Antonio Cocomazzi di SentinelOne ha scoperto che l'elenco delle posizioni escluse dall'analisi di Microsoft Defender non è protetto: qualsiasi utente locale può accedervi. Indipendentemente dalle autorizzazioni che hanno, gli utenti locali possono eseguire una query nel Registro di sistema e venire a conoscenza dei percorsi che Microsoft Defender non verifica durante la scansione (file, cartelle, estensioni, processi).

https://twitter.com/splinter_code/status/1481073265380581381?s=20

Cocomazzi ha pubblicato su Twitter le informazioni che ha trovato, sollevando l’attenzione della comunità di cyber security. Si è scoperto che la questione era nota già da otto anni: fu segnalata prima dal ricercatore Paul Bolton a maggio 2021, poi da un consulente senior addirittura 8 anni orsono.

Non solo: l’esperto di cyber security Nathan McNulty ha aggiunto che, su server, Microsoft Defender attua anche "esclusioni automatiche che vengono abilitate quando vengono installati ruoli o funzionalità specifici".

Un problema pericoloso

Il fatto che occorra l’accesso alla rete locale per mettere mano sull’elenco delle posizioni escluse di Defender non abbassa la soglia di rischio. Lo hanno provato i giornalisti di Bleeping Computer con un piccolo esperimento.

Prima hanno eseguito un campione di ransomware Conti da una posizione protetta, e Microsoft Defender lo ha prontamente individuato e bloccato. Poi hanno inserito il malware Conti in una cartella esclusa e lo hanno eseguito: Microsoft Defender non ha intrapreso alcuna azione e ha permesso la crittografia della macchina.

Se chi riesce a infiltrarsi in una rete e a fare movimenti laterali dovesse trovare l'elenco delle esclusioni di Microsoft Defender, saprebbe dove andare a eseguire i malware senza paura di essere individuato. Tutto si riduce in ultimo a una domanda: perché, vista la gravità del problema, se Microsoft ne è a conoscenza da anni non lo ha ancora risolto?