استفاد المتسللون والقراصنة من نقطة ضعف موجودة في برنامج مكافحة الفيروسات الشهير مايكروسوفت ديفندر Microsoft Defender، لمعرفة المواقع التي يستبعدها المستخدم من الفحص الأمني والوصول إليها بهدف زرع البرامج الضارة.

ويبدو أن هذه المشكلة استمرت لمدة ثماني سنوات على الأقل، وفقًا لبعض الخبراء الأمنيين، وهي تؤثر على نظامي التشغيل Windows 10 21H1 و Windows 10 21H2، ولكنها لا تؤثر على Windows 11.

 

مكامن الضعف في مايكروسوفت ديفندر

مثل أي برنامج آخر لمكافحة الفيروسات، يقدم Microsoft Defender للمستخدمين ميزة استثناء تتيح إضافة مواقع (محلية على الأنظمة أو على الشبكة) يمكن استبعادها من عمليات فحص البرامج الضارة.

يقوم الأشخاص عادةً بإجراء هذا النوع من الاستثناءات لمنع برامج مكافحة الفيروسات من التأثير على وظائف عدد من التطبيقات المشروعة التي يمكن أن يكتشفها البرنامج الأمني عن طريق الخطأ بأنها برامج ضارة، وبالتالي يمنعها من العمل بشكل صحيح.

وكلما اختلفت قائمة الاستثناءات من مستخدم إلى آخر، كلما استفاد المهاجم من هذه المعلومات المفيدة التي تكشف المواقع والأماكن التي يمكنه فيها تخزين الملفات الضارة من دون تعرضها إلى الاكتشاف.

في سياق متصل، اكتشف باحثو الأمن السيبراني أن قائمة المواقع المستبعدة من فحص Microsoft Defender غير محمية. وبالتالي يمكن لأي مستخدم محلي الوصول إلى هذه المعلومات الحساسة، بغض النظر عن الأذونات الممنوحة له، ومعرفة المسارات التي لا يقوم مايكروسوفت ديفندر بفحصها بحثًا عن برامج ضارة أو ملفات خطيرة.

وعلى الرغم من أن المهاجم يحتاج إلى وصول محلي للحصول على قائمة استثناءات مايكروسوفت ديفندر، إلا أن هذا بعيد كل البعد عن كونه عقبة. إذ يوجد العديد من المهاجمين بالفعل على شبكات الشركات المخترقة وهم يبحثون عن طريقة للتحرك بشكل أفقي بأقصى قدر ممكن من التخفي.

من خلال معرفة قائمة استثناءات Microsoft Defender، يمكن للمهاجم الالكتروني الذي قام بالفعل بخرق جهاز Windows وتخزين البرامج الضارة، أن يقوم بتفعيلها ساعة يشاء من دون أن يتم رصده.

لقد مضى على الأمر وقت طويل (قرابة 8 سنوات) ولم تعالج مايكروسوفت المشكلة بعد، فمن الجيد إذاً أن هذا الضعف الأمني يبدو أنه غير موجود على نظام ويندوز 11 الجديد. ولذلك، لا بد من تجديد نظام ويندوز الخاص بكم.