Microsoft อุดช่องทาง ไม่ให้มัลแวร์ปิดซอฟต์แวร์ Antivirus ได้ผ่าน Registry อีกต่อไป

Microsoft ได้อุดรอยรั่ว ที่มัลแวร์เคยสามารถแก้ไข Registry เพื่อสั่งปิด Defender หรือ Third-party Antivirus 

ตั้งแต่ Windows Vista เป็นต้นมาแอดมินของ Windows มีความสามารถใช้ Group Policy เพื่อสั่งปิด Defender หรือซอฟต์แวร์ป้องกันไวรัสจากค่ายอื่นได้  หรือก็คือเป็นการแก้ไข Registry ที่ชื่อ ‘DisableAntiSpyware’ นั่นเอง แต่เมื่อแอดมินทำได้มีหรือคนร้ายจะปล่อยให้รอดสายตา จึงมีการประยุกต์มัลแวร์ให้สามารถปรับแต่ง Registry นี้ได้ออกมาเรื่อยๆ เช่น TrickBot, Novter, Clop Ransomware, Ragnarok Ransomware และ AVCrypt Ransomware

ต่อมาใน Windows 10 1903 ทาง Microsoft ก็แก้เกมโดยการเพิ่มฟีเจอร์ที่ชื่อ Tamper Protection เพื่อกันการแก้ไขค่า Defender Setting ไม่ว่าจากโปรแกรมหรือ CLI หรือ Registry และ Group Policy อย่างไรก็ตามความพยายามยังไม่ประสบผลสำเร็จเพราะมัลแวร์ยังสามารถแก้ไขค่าใน DisableAntiSpyware Registry และรีบูตคอมเพื่อการปิดซอฟต์แวร์ แม้ว่าเครื่องนั้นจะเปิด Tamper Protection อยู่ก็ตาม

วันนี้ Microsoft กลั้นใจเด็ดขาดบอกว่าจะไม่ใช้และละเลยค่าใน DisableAntiSpyware เพื่อการปิดซอฟต์แวร์ป้องกันไวรัสอีกต่อไป 

ที่มา :  https://www.bleepingcomputer.com/news/microsoft/malware-can-no-longer-disable-microsoft-defender-via-the-registry/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …