Wszystkie komputery Windows są wyposażone w wbudowaną funkcję bezpieczeństwa o nazwie Kontrola aplikacji Windows Defender (WDAC), który pomaga uruchomić nieautoryzowane oprogramowanie, umożliwiając tylko zaufane aplikacje.

Jednak pomimo swojego celu hakerzy odkryli kilka sposobów ominięcia WDAC, narażając systemy na złośliwe oprogramowanie, oprogramowanie ransomware i inne zagrożenia cybernetyczne.

W rezultacie to, co kiedyś uważano za silną warstwę obrony, może teraz służyć jako potencjalna wrażliwość, jeśli nie jest odpowiednio zarządzana.

Bądź chroniony i poinformowany! Uzyskaj alerty bezpieczeństwa i wskazówki techniczne – zarejestruj się w Raport CyberGuy Kurta

Co to jest obejście Windows Defender Application Control (WDAC)?

Kontrola aplikacji Windows Defender (WDAC) to Funkcja bezpieczeństwa w systemie Windows To egzekwuje surowe zasady, które mogą uruchomić aplikacje. Pomaga zablokować nieautoryzowane oprogramowanie, ale naukowcy znaleźli sposoby na ominięcie tych zabezpieczeń.

Bobby Cooke, operator zespołu czerwonego w IBM X-Force Red, potwierdzony że zespoły Microsoft mogą być używane jako obejście WDAC. Wyjaśnił, że podczas operacji Red Team byli w stanie poradzić sobie z WDAC i wykonać swój dowódca etapu i kontrolę.

Uzyskaj Fox Business On The Go, klikając tutaj

Aby znaleźć i naprawić te luki w bezpieczeństwie, Microsoft prowadzi program nagród błędów, który nagradza badaczy za zgłaszanie luk w WDAC i innych komponentach bezpieczeństwa. Jednak niektóre techniki obejściowe pozostają rozpoznawane przez długi czas.

DoubleClickjacking Hack obraca się dwukrotnie kliknięcia w konta na przejęcia

Jak hakerzy ominą kontrolę aplikacji Windows Defender

Jednym z kluczowych sposobów, w jaki napastnicy poruszają się po WDAC, jest użycie binarnych binarnych lub lolbins. Są to uzasadnione narzędzia systemowe, które są wstępnie zainstalowane z systemem Windows, ale Hakerzy mogą je zmienić przeznaczenie Aby wykonać nieautoryzowany kod, unikając wykrywania bezpieczeństwa. Ponieważ narzędzia te są zaufane przez system, zapewniają one łatwy sposób na poślizgnięcie się obrony.

Niektóre techniki obejściowe obejmują obciążenie boku DLL, w którym atakujący oszukują uzasadnione zastosowania do ładowania złośliwych bibliotek zamiast zamierzonych. Ponadto, jeśli zasady WDAC nie są poprawnie egzekwowane, atakujący mogą modyfikować reguły wykonania, aby umożliwić uruchomienie nieautoryzowanego oprogramowania.

Hakerzy używają również niepodpisanych lub luźno podpisanych plików binarnych. WDAC opiera się na podpisaniu kodu w celu weryfikacji autentyczności aplikacji. Jednak napastnicy czasami wykorzystują błędne konfigurację, w których luźno podpisane lub niepodpisane binarie są błędnie dozwolone, pozwalając im wykonywać złośliwe ładunki.

Gdy atakujący ominą WDAC, mogą wykonywać ładunki bez oznaczania tradycyjnych rozwiązań bezpieczeństwa. Oznacza to, że mogą wdrażać oprogramowanie ransomware, instalować backdoors lub poruszać się bocznie w sieci bez wywoływania natychmiastowych podejrzeń. Ponieważ wiele z tych ataków wykorzystuje wbudowane narzędzia systemu Windows, wykrywanie złośliwej aktywności staje się jeszcze trudniejsze.

Oprogramowanie Windows Defender vs Antivirus: Bezpłatna ochrona jest krótka

Nieustanni hakerzy porzucają system Windows, aby ukierunkować swój Apple ID

3 sposoby ochrony komputera przed hakerami WDAC

Ponieważ atak ten wykorzystuje podatność w WDAC, niewiele możesz zrobić, aby w pełni się chronić. Microsoft musi rozwiązać problem. Oto jednak trzy najlepsze praktyki, które możesz zastosować, aby zmniejszyć ryzyko.

1. Informuj Windows: Microsoft regularnie uwalnia aktualizacje bezpieczeństwa, które luki w łatach, w tym te związane z WDAC. Utrzymywanie systemu Windows i Microsoft Defender zapewnia najnowszą ochronę przed znanymi zagrożeniami. Jeśli nie masz pewności, jak to zrobić, zobacz moje Przewodnik po aktualizacji wszystkich urządzeń i aplikacji.

2. Zachowaj ostrożność z pobieraniem oprogramowania: Instaluj tylko aplikacje z zaufanych źródeł, takich jak Microsoft Store lub oficjalne strony internetowe dostawców. Unikaj pirackiego oprogramowania, ponieważ może ono być pakowane z złośliwym kodem, który omija zabezpieczenia bezpieczeństwa, takie jak WDAC.

Co to jest sztuczna inteligencja (AI)?

3. Użyj silnego oprogramowania antywirusowego: Na podstawie raportu nie wydaje się, aby hakerzy wymagają interakcji użytkownika, aby ominąć WDAC. Opisane metody sugerują, że atakujący może wykorzystać te luki bez bezpośredniego wprowadzania użytkownika, szczególnie jeśli mają już pewien poziom dostępu do systemu.

Jednak w rzeczywistych scenariuszach atakujący często łączą takie wyczyny z inżynierią społeczną lub phishing, aby uzyskać początkowy dostęp. Na przykład, jeśli atakujący uzyska dostęp poprzez atak phishingowy, może następnie użyć metod obejścia WDAC do wykonywania dalszych złośliwych ładunków.

Tak więc, chociaż bezpośrednie dane wejściowe użytkownika mogą nie być konieczne w przypadku niektórych technik obejścia, atakujący często używają działań użytkownika jako punktu wejścia przed wykorzystaniem luk w zabezpieczeniach WDAC. Najlepszym sposobem na uniknięcie zostania ofiarą jest zainstalowanie silnego oprogramowania antywirusowego. Zdobądź moje typy dla najlepszych zwycięzców ochrony antywirusowej 2025 dla urządzeń Windows, Mac, Android i iOS.

Clickfix złośliwe oprogramowanie jest w stanie zainfekować własny komputer z systemem Windows

Kluczowe wyniki Kurta

Podczas gdy Windows Defender Application Control (WDAC) oferuje cenną warstwę bezpieczeństwa, nie jest niezawodna. Hakerzy aktywnie rozwijają się i wykorzystują techniki obejścia WDAC do wykorzystywania luk w obronie systemu. Zrozumienie, jak działa obejście WDAC, jest niezbędne do ochrony twoich urządzeń. Utrzymując aktualne oprogramowanie, korzystając z zaufanych aplikacji i polegając na renomowanych narzędziach bezpieczeństwa, możesz znacznie obniżyć ryzyko.

Kliknij tutaj, aby uzyskać aplikację Fox News

Czy uważasz, że Microsoft robi wystarczająco dużo, aby załatać te luki, czy też powinno podejmować silniejsze działania? Daj nam znać, pisząc nas o godz Cyberguy.com/contact

Aby uzyskać więcej moich wskazówek technicznych i alertów bezpieczeństwa, zasubskrybuj mój bezpłatny biuletyn Raport CyberGuy, kierując się do Cyberguy.com/newsletter

Zadaj Kurta pytanie lub daj nam znać, jakie historie chcesz, abyśmy omówili.

Śledź Kurta na jego kanałach społecznościowych:

Odpowiedzi na najczęściej zapisane cybergańskie pytania:

Nowy z Kurt:

Copyright 2025 CyberGuy.com. Wszelkie prawa zastrzeżone.