Ошибка в антивирусе Защитника Windows 10 не исправлялась 12 лет.
Вчера Microsoft выпустила февральский патч, исправляющий множество уязвимостей в Windows 10. Среди них было несколько уязвимостей нулевого дня, которые позволяли как выполнять удаленный код на наших компьютерах, так и создавать синие экраны. Кроме того, они исправили еще один, который присутствовал в операционной системе не менее 12 лет.
Об этом объявила компания SentinelOne, занимающаяся кибербезопасностью, после того, как Microsoft вчера внесла исправления в нее, имея возможность делиться своим существованием с большим спокойствием и зная, что есть доступное решение. Однако они не предоставили много технических подробностей, чтобы дать обновлению больше времени, чтобы охватить большее количество пользователей.
Защитник Windows пострадал от ошибки, и он 12 лет не исправлял
Ошибка присутствовала в Защитнике Windows, одном из самых чувствительных элементов операционной системы. В частности, уязвимость затрагивает драйвер, используемый антивирусом для удаления инвазивных файлов и инфраструктуры, которые вредоносное ПО может создать для распространения по компьютеру, что является основной особенностью работы антивируса. Когда драйвер удаляет вредоносный файл, он заменяет его доброкачественным при удалении вредоносного ПО. Однако исследователи поняли, что Защитник Windows не проверял этот новый файл, который был создан, поэтому злоумышленник мог изменить драйвер таким образом, чтобы неправильный файл мог быть перезаписан или даже выполнить вредоносный код.
Защитник Windows используется сотнями миллионов людей, таких как антивирус Windows 10, по всему миру, поскольку он включен в систему по умолчанию. Поэтому недостаток в нем или в драйвере, который подписан самой Microsoft, опасен, потому что для операционной системы он может выглядеть как что-то законное и безопасное, хотя на самом деле это не так. Драйвер можно изменить для удаления программного обеспечения или данных, а также для запуска его кода, чтобы получить полный контроль над системой, поскольку он позволяет повышать привилегии.
Даже пользователи Windows Vista пострадали
В середине ноября в Microsoft было сообщено об уязвимости, и на этой неделе они наконец выпустили патч. Уязвимость считалась высокорисковой и могла быть использована только злоумышленником с удаленным или физическим доступом к компьютеру. Следовательно, чтобы использовать ее, необходимо объединить ее с другой уязвимостью.
По данным SentinelOne и Microsoft, нет никаких доказательств того, что уязвимость была использована злоумышленником. Однако это трудно сказать, так как 12 лет – это большой срок и подразумевают, что пользователи Windows 7 теперь подвержены этому. Кроме того, исследователи утверждают, что уязвимость могла существовать еще дольше, но их исследование было ограничено 2009 годом, то есть еще с антивирусной базы данных VirusTotal, которую они использовали.
SentinelOne считает, что обнаружение уязвимости заняло так много времени, потому что соответствующий драйвер не сохраняется на компьютере все время. Вместо этого он использует систему под названием «библиотека динамической компоновки», загружая драйвер только тогда, когда он необходим, и удаляя его после. Кроме того, они утверждают, что эти типы недостатков могут быть в другом антивирусном программном обеспечении, поэтому они призывают другие компании проверять свое программное обеспечение на наличие таких уязвимостей.