В составе Microsoft Defender Antivirus (ранее просто Windows Defender) исправили уязвимость, связанную с повышением привилегий. Интересно, что этот баг появился в коде около 12 лет назад и влиял на все версии Defender для Windows 7 и выше, выпущенные после 2009 года.
Уязвимость, обнаруженная экспертами SentinelOne в ноябре прошлого года, получила идентификатор CVE-2021-24092, и она также распространяется на другие продукты безопасности Microsoft, включая Microsoft Endpoint Protection, Microsoft Security Essentials и Microsoft System Center Endpoint Protection.
Проблема была обнаружена в драйвере BTR.sys (он же Boot Time Removal Tool), который используется для удаления файлов и записей реестра, созданных вредоносным ПО. Исследователи считают, что уязвимость не замечали так долго из-за «характера активации этого конкретного механизма».
«Мы полагаем, что эта уязвимость не обнаруживалась до сих пор, потому как этот драйвер обычно не присутствует на жестком диске, но сбрасывается и активируется при необходимости (со случайным именем), а затем удаляется», — гласит отчет компании.
В сущности, когда BTR.sys удаляет вредоносный файл, он временно заменяет его новым и безопасным. Исследователи обнаружили, что система никак не проверяет этот новый файл, и в итоге злоумышленник может добиться перезаписи не того файла или даже запуска вредоносного кода, повысив свои привилегии до уровня администратора.
Исправление будет автоматически установлено во всех системах, где работают уязвимые версии Microsoft Defender и включены автоматические обновления. Баг был исправлен в рамках февральского «вторника обновлений». Последней версией Microsoft Malware Protection Engine, подверженной этой уязвимости, является 1.1.17700.4. Первая версия, в которой была исправлена ошибка, это 1.1.17800.5.
«Хотя кажется, что эта уязвимость не использовалась, злоумышленники, вероятно, придумают, как использовать ее в незащищенных системах. Кроме того, поскольку уязвимость присутствует во всех версиях Windows Defender, начиная примерно с 2009 года, вероятно, многие пользователи не смогут применить выпущенное исправление, что делает их уязвимыми для будущих атак», — резюмируют эксперты SentinelOne.