Huis » Nieuws » Microsoft gepubliceerde lijst van gevaarlijke legitieme applicaties

Microsoft gepubliceerde lijst van gevaarlijke legitieme applicaties

Microsoft samengesteld en publiceerde een lijst van legitieme applicaties die door aanvallers kunnen worden gebruikt voor het omzeilen van Windows Defender veiligheidsregels.

Corporation notifies that attackers can penetrate organization’s network by using this legitimate programs. Microsoft refers to a special method that use cybercriminals – Living off. Living off suggests exploitation of OS functions or legitimate administrating tools in compromising corporate network.

Due to application of quite harmless tools attackers can often avoid detection by different antivirus decisions.

Hence Microsoft recommends creation of special rule that blocks certain legitimate applications.

“Unless your use scenarios explicitly require them, Microsoft recommends that you block the following applications”, — advice in Microsoft

List of applications:

  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe[1]
  • cdb.exe
  • csi.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • kd.exe
  • ntkd.exe
  • lxssmanager.dll
  • msbuild.exe[2]
  • mshta.exe
  • ntsd.exe
  • rcsi.exe
  • system.management.automation.dll
  • windbg.exe
  • wmic.exe

[1] — A vulnerability in bginfo.exe has been fixed in the latest version 4.22. If you use BGInfo, for security, make sure to download and run the latest version here BGInfo 4.22. Note that BGInfo versions earlier than 4.22 are still vulnerable and should be blocked.

[2] — If you are using your reference system in a development context and use msbuild.exe to build managed applications, we recommend that you whitelist msbuild.exe in your code integrity policies. Echter, if your reference system is an end user device that is not being used in a development context, we recommend that you block msbuild.exe.

“These applications and files can be used by attackers for bypassing of protective measures, bijvoorbeeld, rule white applications list. Met name, attackers can bypass Windows Defender Application Control protection», — warns Microsoft.

Bron: https://docs.microsoft.com

LEZEN  Cybercriminelen infecteren Docker systemen met een open API, en kijk dan voor vergelijkbare die het gebruik van Shodan dienst
[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

Trojan MonsterInstall

Sites met cheats voor games distribueren gebruikers om de belasting Trojan crypto mijnwerker

Een nieuwe modulaire trojan downloader in JavaScript is verschenen op het internet. Momenteel, it can

Oracle WebLogic Vulnerability

Oracle heeft een dringende patch om kritische kwetsbaarheden in WebLogic Server elimineren vrijgegeven

Het bedrijf zei dat er een onbekende groep van cybercriminelen in real-aanvallen is al actief …

Laat een antwoord achter