微軟防毒產品安全性不保 駭客繞過Windows Defender防護「攻擊用戶」

微软(Microsoft)内建的防毒资安产品Windows Defender安全性恐不保。路透资料照

微软(Microsoft)内建的防毒资安产品Windows Defender安全性恐不保。全球网路资安领导厂商趋势科技今天宣布发现了一个活跃中的Microsoft Windows Defender漏洞正遭到Water Hydra骇客集团所利用并进行猛烈攻击，事前，趋势科技已经提醒微软，微软也在2月13日起正式公布。

趋势科技Zero Day Initiative (ZDI)漏洞悬赏计划的研究人员于2023年12月31日发现这个活跃中的零时差漏洞(CVE-2024-21412)并向微软揭露，2月13日首次对外发布。趋势科技客户在2024年1月17日便能自动防范这项漏洞，建议企业应立即采取行动来防止骇客经由此漏洞发动攻击。

此漏洞的最大风险是可能被骇客用来攻击任何产业或企业，一些以赚钱为动机的持续性渗透攻击(APT)集团正积极利用此漏洞来渗透外汇交易所，借此影响高风险的外汇交易市场。

趋势科技指出，确切来说，骇客会在复杂的零时差攻击程序当中使用此漏洞来绕过Windows Defender SmartScreen保护机制，让受害电脑感染DarkMe远端存取木马程式(Remote Access Trojan，RAT)以方便窃取资料和感染勒索病毒。

趋势科技指出，每发现一个新的零时差漏洞，会负责任地揭露给厂商。趋势科技客户可在套用厂商正式修补更新之前，预先套用虚拟修补来保护系统以免于漏洞攻击。相较其他厂商平均需要96天的时间才能为客户提供实质的防护，趋势科技平均可在厂商正式发布修补更新的51天前预先提供虚拟修补来保护客户，这个Microsoft零时差漏洞也不例外。本次所发现的漏洞趋势科技采用多层式防御来防范进阶威胁，其入侵防护(IPS)功能提供了虚拟修补来全面拦截利用CVE-2024-21412漏洞的攻击。

根据趋势科技估计，2023年期间，凡是按部就班套用所有虚拟修补的企业客户平均可省下100万美元。趋势科技营运长(COO)Kevin Simzer表示，零时差漏洞是骇客越来越常用来达成目标的一种手段，趋势科技以庞大投资的资源来建立威胁情报，提前在厂商释出正式修补更新之前好几个月，预先保护客户。

趋势科技主导的Zero Day Initiative(ZDI)计划，是目前全球最大的非限定厂商独立漏洞悬赏计划，具备重要的发掘及供应虚拟修补情报的能力。趋势科技指出，骇客集团发现的零时差漏洞越来越常被一些国家级骇客集团(如APT28、APT29、APT40)用于攻击程序当中，借此扩大攻击范围；CVE-2024-21412本身只是单纯地绕过CVE-2023-36025漏洞的修补，这突显出APT集团多么容易就能找出厂商局部性修补的弱点并加以回避。