Microsoft, saldırganların Defender’ı Bypass eden ve sonra kötü amaçlı yazılımların yerleştirmesine ve yürütmesine olanak tanıyan zafiyeti kapattı. Zafiyet “HKLM\Software\Microsoft\Windows Defender\Exclusions” kayıt defteri anahtarı için zayıf güvenlik ayarlarından kaynaklandı. Bu anahtar, Microsoft Defender taramasından hariç tutulan konumların (dosyalar, klasörler, uzantılar veya işlemler) listesini içeriyor. Aşağıdaki resimde gösterildiği gibi, Kayıt Defteri anahtarına ‘everyone’ grubu tarafından erişilebildiği için zayıflıktan yararlanmak mümkün.
Bu, yerel kullanıcıların (izinlerine bakılmaksızın) Windows Kayıt Defteri’ni sorgulayarak komut satırı aracılığıyla erişmesine mümkün kıldı.
Hollandalı güvenlik uzmanı SecGuru_OTX tarafından Perşembe günü tespit edildiği gibi, Microsoft’un bir güncelleme yoluyla zayıflığı giderdiği için artık bu zafiyetin istismar edilmesinin mümkün olmadığını söyledi. SentinelOne tehdit araştırmacısı Antonio Cocomazzi , Şubat 2022 Salı Yaması Windows güncellemelerini yükledikten sonra kusurun artık Windows 10 20H2 sistemlerinde kullanılamayacağını doğruladı.
Kaynak: bleepingcomputer.com
