Błąd w programie antywirusowym Windows 10 Defender został usunięty 12 lat.
Microsoft opublikował wczoraj lutową poprawkę, naprawiając wiele luk w Windows 10. Wśród nich znalazło się kilka luk zero-day, które pozwoliły zarówno na zdalne wykonanie kodu na naszych komputerach, jak i na generowanie niebieskich ekranów. Ponadto załatali inny, który był obecny w systemie operacyjnym od co najmniej 12 lat.
Zostało to ogłoszone przez firmę zajmującą się bezpieczeństwem cybernetycznym SentinelOne po tym, jak Microsoft załatał go wczoraj, będąc w stanie dzielić się swoim istnieniem z większym spokojem i wiedząc, że istnieje dostępne rozwiązanie. Jednak nie podali wielu szczegółów technicznych, aby aktualizacja dotarła do większej liczby użytkowników.
Błąd miał wpływ na program Windows Defender, który trwał 12 lat bez aktualizacji
Błąd występował w programie Windows Defender, jednym z najbardziej wrażliwych elementów systemu operacyjnego. W szczególności wada dotyczy sterownika używanego przez program antywirusowy do usuwania inwazyjnych plików i infrastruktury, które złośliwe oprogramowanie może tworzyć w celu rozprzestrzeniania się na komputerze, co jest podstawową funkcją działania programu antywirusowego. Gdy sterownik usuwa złośliwy plik, zastępuje go niegroźnym podczas usuwania złośliwego oprogramowania. Jednak naukowcy zdali sobie sprawę, że program Windows Defender nie sprawdził tego nowego pliku, który został utworzony, więc osoba atakująca może zmodyfikować sterownik w taki sposób, że niewłaściwy plik może zostać nadpisany lub nawet wykonać złośliwy kod.
Program Windows Defender jest używany przez setki milionów ludzi, takich jak program antywirusowy systemu Windows 10 na całym świecie, ponieważ jest on domyślnie dołączony do systemu. Dlatego błąd w nim lub w sterowniku, który jest podpisany przez samego Microsoft, jest niebezpieczny, ponieważ dla systemu operacyjnego może wyglądać na coś legalnego i bezpiecznego, podczas gdy w rzeczywistości tak nie jest. Sterownik można zmodyfikować, aby usunąć oprogramowanie lub dane, a także uruchomić jego kod, aby przejąć pełną kontrolę nad systemem, ponieważ umożliwia to eskalację uprawnień.
Dotyczy to nawet użytkowników systemu Windows Vista
Błąd został zgłoszony firmie Microsoft w połowie listopada iw końcu w tym tygodniu opublikowano poprawkę. Luka ta została uznana za obarczoną wysokim ryzykiem i mogła zostać wykorzystana tylko przez osobę atakującą, która miała zdalny lub fizyczny dostęp do komputera. Dlatego, aby ją wykorzystać, należałoby połączyć ją z inną luką.
Według SentinelOne i Microsoft nie ma dowodów na to, że luka została wykorzystana przez osobę atakującą. Trudno to jednak wiedzieć, ponieważ 12 lat to dużo czasu i oznacza, że użytkownicy systemu Windows 7 są teraz z nim narażeni. Co więcej, naukowcy twierdzą, że luka mogła istnieć jeszcze dłużej, ale ich badania ograniczały się do 2009 roku, czyli aż do używanej przez nich antywirusowej bazy danych VirusTotal.
SentinelOne uważa, że wykrycie usterki zajęło tak dużo czasu, ponieważ sterownik, którego dotyczy problem, nie jest przechowywany na komputerze przez cały czas. Zamiast tego wykorzystuje system zwany „biblioteką dołączaną dynamicznie”, ładujący sterownik tylko wtedy, gdy jest potrzebny, a następnie usuwany. Twierdzą również, że tego typu luki mogą występować w innym oprogramowaniu antywirusowym, dlatego zachęcają inne firmy do sprawdzania ich oprogramowania pod kątem takich luk.