Хакерите намират начин около вградените защити на Windows

всички компютри Windows се оферират с вградена функционалност за сигурност, наречена Windows Defender Control (WDAC), която оказва помощ да се предотврати стартирането на неоторизиран програмен продукт, като разрешава единствено надеждни приложения. 

Въпреки задачата си, хакерите са разкрили няколко метода за заобикаляне на WDAC, излагайки системи на злотворен програмен продукт, откуп и други кибер закани. 

В резултат на това това, което в миналото се считаше за мощен пласт на защита, в този момент може да послужи като евентуална накърнимост, в случай че не се ръководи вярно.

изображение на Windows преносим компютър. Това постанова строги правила за това кои приложения могат да се извършват. Той оказва помощ да се блокира неоторизиран програмен продукт, само че откривателите са намерили способи да заобиколят тези отбрани.

Боби Кук, оператор на червен екип в IBM X-Force Red, че екипите на Microsoft могат да бъдат употребявани като байпас на WDAC. Той изясни, че по време на интервенциите на Red Team те са съумели да заобиколят WDAC и да изпълнят командата си на стадий 2 и да управляват потребния товар.

За да намерят и поправят тези пропуски в сигурността, Microsoft извършва стратегия за сигурност на сигурността, която възнаграждава откривателите за отчитане на уязвимостите в WDAC и други съставни елементи за сигурност. Някои байпасни техники обаче остават непроменени за дълги интервали.

Екипи Електронна повърхнина на API разкри. (IBM)

Как хакерите заобикалят WDENDER Defender Control

Един от главните способи, по които нападателите получават към WDAC, като употребяват Biniary на Living-the-the-Land, един от основните способи, по които нападателите получават към WDAC, посредством потребление на житейските копачки, един от основните способи, по които нападателите получават към WDAC, посредством потребление на пребиваването на Living-the-The-Land. Това са законни систематични принадлежности, които са авансово конфигурирани с Windows, само че хакерите могат да им пренасочат да извършват неоторизиран код, като в същото време заобикалят откриването на сигурността. Тъй като тези принадлежности се доверяват на системата, те обезпечават елементарен метод да се промъкнат защити.

Някои байпасни техники включват DLL странично зареждане, при които нападателите подлагат законни приложения за зареждане на злонамерени DLL, вместо на плануваните. Освен това, в случай че политиките на WDAC не се ползват вярно, нападателите могат да трансформират разпоредбите за осъществяване, с цел да разрешат да се извършва неоторизиран програмен продукт.

Хакерите също употребяват неподписани или свободно подписани двоични файлове. WDAC разчита на сключване на код, с цел да ревизира достоверността на приложението. Въпреки това, нападателите от време на време експлоатират неправилни конфигурации, при които свободно подписаните или неподписани двоични файлове неправилно се позволяват, оставяйки ги да извършват злонамерени потребни товари.

След като нападателят заобиколи WDAC, те могат да извършват потребни товари, без да бъдат маркирани от обичайните решения за сигурност. Това значи, че те могат да разпрострат откуп, да конфигурират задни или да се движат странично в границите на мрежа, без да задействат неотложно съмнение. Тъй като доста от тези офанзиви употребяват вградени прозорци, откриването на злонамерена активност става още по-трудно.

Изображение на преносим компютър на Windows. себе си. От Microsoft зависи да в профил казуса. Ето обаче три най -добри практики, които можете да следвате, с цел да намалите риска си.

1. Дръжте Windows обновен: Microsoft постоянно пуска актуализации на сигурността, които плачат уязвимостите, в това число тези, свързани с WDAC. Поддържането на настоящи Windows и Microsoft Defender подсигурява, че имате най -новата отбрана против известни закани. Ако не сте сигурни по какъв начин да извършите това, вижте моя.

2. Бъдете внимателни със софтуерни изтегляния: Инсталирайте единствено приложения от надеждни източници като Microsoft Store или публични уеб страници на снабдители. Избягвайте пиратския програмен продукт, защото той може да бъде в комплект със злоумишлен код, който заобикаля отбраната на сигурността като WDAC.

3. Използвайте мощен антивирусен програмен продукт: Въз основа на доклада не наподобява, че хакерите изискват взаимоотношение на потребителите, с цел да заобиколят WDAC. Описаните способи допускат, че нападателят може да употребява тези уязвимости без пряк вход на потребителите, изключително в случай че те към този момент имат някакво равнище на достъп до системата.

Въпреки това, в действителни сюжети, нападателите постоянно комбинират сходни употреби със общественото инженерство или фишинг, с цел да получат първичен достъп. Например, в случай че нападателят получи достъп посредством фишинг офанзива, по-късно може да употребява методите на байпас на WDAC за осъществяване на спомагателни злонамерени потребни товари. 

Така че, въпреки че директният вход на потребителите може да не е нужен за някои техники за байпас, нападателите постоянно употребяват дейностите на потребителите като входна точка, преди да употребяват уязвимостите на WDAC. Най -добрият метод да избегнете да станете жертва е да се конфигурира мощен антивирусен програмен продукт. .

Ключовите заключения на Kurt

Докато контролът на приложението на Windows Defender (WDAC) предлага скъп пласт сигурност, той не е малоумен. Хакерите интензивно създават и употребяват техники за байпас на WDAC за употреба на пропуски в систематичните отбрани. Разбирането на това по какъв начин WDAC байпас работи е от значително значение за отбраната на вашите устройства. Като поддържате вашия програмен продукт в настояща стойност, употребявайки надеждни приложения и разчитайки на реномирани принадлежности за сигурност, можете доста да намалите риска си.

Мислите ли, че Microsoft прави задоволително, с цел да закърпи тези уязвимости или би трябвало да предприеме по -силни дейности?  Let us know by writing us at 

For more of my tech tips and security alerts, subscribe to my free CyberGuy Report Newsletter by heading to 

Follow Kurt on his social channels:

Answers to the most-asked CyberGuy questions:

New from Kurt:

Copyright 2025 CyberGuy.com. Всички права непокътнати.

Курт " Cyberguy " Knutsson е награден механически публицист, който има дълбока обич към технологиите, оборудванията и джаджи, които вършат живота по-добър с приноса му за Fox News & Fox Business, започващ заран на " Fox & Friends ". Имате механически въпрос? Вземете безплатния бюлетин на Kurt Cyberguy, споделете гласа си, концепция за история или коментар на cyberguy.com.