Windows Defenderをバイパスする方法が発見

9月28日(米国時間)、Threatpostに掲載された記事「Windows Defender Bypass Tricks OS into Running Malicious Code｜Threatpost｜The first stop for security news」が、CyberArkの研究者らがWindows Defender機能をバイパスする方法を発見したと伝えた。この回避方法を使われると、Windowsでマルウェアを実行することが可能になるとされている。

Threatpostの問い合わせに対し、Microsoftは「この回避方法は実践するには無理がある」と回答しているという。この攻撃を成功させるには、信用できないリモートから信用できないバイナリを実行してもよいかとユーザーに対して手動で同意を得る必要がある。さらに、ユーザーは攻撃者に対して管理者権限を付与することを許可するためのクリックを実施する必要もあり、悪用するための敷居が高いと指摘している。

Microsoftは現段階ではこの動作を脆弱性として認識していないため、今後のWindows Updateで挙動変更の対象となる可能性は低い。しかし、この動作を悪用したサイバー攻撃が大規模に実施されるようになった場合は修正の対象となる可能性がある。今後の動向に注目するとともに、アップデートが提供された場合は迅速に対応することが望まれる。