Microsoft veröffentlichte Liste der gefährlichen legitime Anwendungen

Microsoft zusammengesetzt und veröffentlichte eine Liste legitimer Anwendungen, die Sicherheit von Angreifern zum Umgehen Regeln Windows Defender verwendet werden können,.

Corporation benachrichtigt, dass Angreifer mit diesen legitimen Programmen in das Netzwerk der Organisation eindringen können. Microsoft verweist auf eine spezielle Methode, die Cyberkriminelle verwendet – Davon leben. Das Leben vom Leben deutet darauf hin, dass Betriebssystemfunktionen oder legitime Verwaltungstools ausgenutzt werden, um das Unternehmensnetzwerk zu gefährden.

Durch den Einsatz recht harmloser Tools können Angreifer oft die Erkennung durch verschiedene Antivirus-Entscheidungen vermeiden.

Daher empfiehlt Microsoft, eine spezielle Regel zu erstellen, die bestimmte legitime Anwendungen blockiert.

„Es sei denn, Ihre Nutzungsszenarien erfordern dies ausdrücklich, Microsoft empfiehlt, die folgenden Anwendungen zu blockieren“, — Beratung in Microsoft

Liste der Anwendungen:

  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe[1]
  • cdb.exe
  • csi.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • kd.exe
  • ntkd.exe
  • lxssmanager.dll
  • msbuild.exe[2]
  • mshta.exe
  • ntsd.exe
  • rcsi.exe
  • system.management.automation.dll
  • windbg.exe
  • wmic.exe

[1] — Eine Schwachstelle in bginfo.exe wurde in der neuesten Version behoben 4.22. Wenn Sie BGInfo verwenden, aus Sicherheitsgründen, Stellen Sie sicher, dass Sie die neueste Version hier herunterladen und ausführen BGInfo 4.22. Beachten Sie, dass BGInfo-Versionen vor 4.22 sind immer noch anfällig und sollten blockiert werden.

[2] — Wenn Sie Ihr Referenzsystem in einem Entwicklungskontext verwenden und msbuild.exe verwenden, um verwaltete Anwendungen zu erstellen, Wir empfehlen Ihnen, msbuild.exe in Ihren Codeintegritätsrichtlinien auf die Whitelist zu setzen. jedoch, wenn Ihr Referenzsystem ein Endbenutzergerät ist, das nicht in einem Entwicklungskontext verwendet wird, Wir empfehlen Ihnen, msbuild.exe zu blockieren.

„Diese Anwendungen und Dateien können von Angreifern genutzt werden, um Schutzmaßnahmen zu umgehen, Zum Beispiel, Regel weiße Bewerbungsliste. Im Speziellen, Angreifer können den Windows Defender Application Control-Schutz umgehen», — warnt Microsoft.

Quelle: https://docs.microsoft.com

Polina Lisovskaya

Ich arbeite seit Jahren als Marketingleiterin und liebe es, für dich nach interessanten Themen zu suchen

Hinterlasse eine Antwort

Schaltfläche "Zurück zum Anfang"