Заплахи

Microsoft елиминира 12-годишна сериозна уязвимост в свой антивирусен продукт

Александър Главчев

Стара и доскоро неоткрита уязвимост отстрани Microsoft в собственото си решение за сигурност - Defender. Тя е съществувала в продължение на 12 години и е открита от експерти от компанията SentinelOne.

Пробойната е била в драйвер, отговорен за премахването на локални данни и друга инфраструктура, която може да бъда създавана от зловреден софтуер. За целта Microsoft Defender създава на мястото на изтрития файл безвреден такъв, който обаче е оставал непроверен.

В резултат злоумишленици са имали възможността да заменят стратегически важни връзки, така че антивирусът да не презаписва следи от зловреден софтуер, а системни файлове или дори сам да стартира зловреден код. Това потенциално може да превърне Defender в инструмент за хакери, като рискът се подсилва от факта, че въпросният защитен софтуер е с голямо разпространение защото идва заедно с операционната система.

Освен това, Defender и неговият уязвим драйвер се радват на най-високо ниво на доверие в Windows. Това означава, че с помощта на определени манипулации е били възможно антивирусът безпрепятствено да изтрива ключови файлове на операционната система, извеждайки я от строя, или да изпълнява произволен код и да поема контрол над нея.

Налице обаче едно съществено ограничение, заради което Microsoft е присвои на бъга статуса на опасен, но не и критичен: за да възползване от уязвимостта е необходим локален достъп до компютъра. Не е задължително той да е физически, но във всеки случай това означава системата трябва да бъде предварително компрометирана.

Пачът, адресиращ уязвимостта, е пуснат на 9 февруари 2021 г. Към днешна дата няма доказателства някой да се е опитал да използва уязвимостта, но от SentinelOne са взели да забавят публикуването на информация за проблема, докато поправката бъде получена от максимален брой системи по света.





© Ай Си Ти Медиа ЕООД 1997-2021 съгласно Общи условия за ползване

X