Huis » Nieuws » Microsoft gepubliceerde lijst van gevaarlijke legitieme applicaties

Microsoft gepubliceerde lijst van gevaarlijke legitieme applicaties

Microsoft samengesteld en publiceerde een lijst van legitieme applicaties die door aanvallers kunnen worden gebruikt voor het omzeilen van Windows Defender veiligheidsregels.

Corporation notifies that attackers can penetrate organization’s network by using this legitimate programs. Microsoft refers to a special method that use cybercriminals – Living off. Living off suggests exploitation of OS functions or legitimate administrating tools in compromising corporate network.

Due to application of quite harmless tools attackers can often avoid detection by different antivirus decisions.

Hence Microsoft recommends creation of special rule that blocks certain legitimate applications.

“Unless your use scenarios explicitly require them, Microsoft recommends that you block the following applications”, — advice in Microsoft

List of applications:

  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe[1]
  • cdb.exe
  • csi.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • kd.exe
  • ntkd.exe
  • lxssmanager.dll
  • msbuild.exe[2]
  • mshta.exe
  • ntsd.exe
  • rcsi.exe
  • system.management.automation.dll
  • windbg.exe
  • wmic.exe

[1] — A vulnerability in bginfo.exe has been fixed in the latest version 4.22. If you use BGInfo, for security, make sure to download and run the latest version here BGInfo 4.22. Note that BGInfo versions earlier than 4.22 are still vulnerable and should be blocked.

[2] — If you are using your reference system in a development context and use msbuild.exe to build managed applications, we recommend that you whitelist msbuild.exe in your code integrity policies. Echter, if your reference system is an end user device that is not being used in a development context, we recommend that you block msbuild.exe.

“These applications and files can be used by attackers for bypassing of protective measures, bijvoorbeeld, rule white applications list. Met name, attackers can bypass Windows Defender Application Control protection», — warns Microsoft.

Bron: https://docs.microsoft.com

LEZEN  Mysterieus en boos SandboxEscaper in twee dagen geplaatst wat meer 0-day exploits voor Windows in open access
[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

Android 0-day kwetsbaarheid

Een andere kwetsbaarheid 0-day in Android ontdekt

Deelnemers aan het Google-project Zero Day Initiative (DENKEN) published details of a 0-day vulnerability

Android duurder dan iOS

Zerodium gewaardeerd eerst exploits voor Android duurder dan voor iOS

De bekende kwetsbaarheid broker, Zerodium, heeft haar prijslijst bijgewerkt, and now for the first

Laat een antwoord achter