В антивирусе от Microsoft исправили уязвимость 12-летней давности
Источник:
BleepingcomputerРазработчики Microsoft исправили опасную уязвимость в своем фирменном антивирусе, которая наблюдалась во всех версиях Microsoft Defender, начиная с 2009 года. Она связана с повышением привилегий в Microsoft Defender с последующим получением прав администратора в системе.
Упомянутая уязвимость была обнаружена специалистами американской компании SentinelOne, которая работает в сфере информационной безопасности, в ноябре прошлого года. Проблема касалась не только Microsoft Defender, но и других продуктов безопасности, в том числе Microsoft Endpoint Protection, Microsoft Security Essentials и Microsoft System Center Endpoint Protection.
Интересно Apple патентует умные перчатки для точной работы в дополненной реальности
В чем заключалась уязвимость
Злоумышленники с правами пользователя могли использовать ее для проведения атак низкой сложности, которые не предусматривают какого-либо взаимодействия с жертвой. Однако для эксплуатации хакеру необходимо иметь удаленный или физический доступ к целевому устройству.
Уязвимость, которую более десяти лет не удавалось обнаружить, находилась в драйвере BTR.sys, который используется антивирусом в процессе устранения выявленных угроз для удаления файлов и записей реестра, созданных вредоносным программным обеспечением.
По мнению исследователей, проблема оставалась скрытой так долго, потому что уязвимый драйвер не хранится на жестком диске постоянно. Он является частью библиотеки динамической компоновки (Dynamic Link Library) в Windows, которая используется антивирусом только в случае необходимости.
Microsoft и SentinelOne не нашли никаких подтверждений того, что упомянутая уязвимость использовалась злоумышленниками на практике. Исправление стало частью февральского патча безопасности, который был выпущен в рамках программы Patch Tuesday.