Microsoft устранила 12-летнюю уязвимость в антивирусе Microsoft Defender

Олег Иванов 12 Февраля 2021 - 08:35

Домашние пользователи

Корпорации

Windows

Microsoft

Microsoft Windows Defender

Персональный антивирус

Бесплатные антивирусы

Уязвимости программ

Патчи

...

Microsoft устранила 12-летнюю уязвимость в антивирусе Microsoft Defender

Microsoft устранила старую уязвимость во встроенном антивирусе Microsoft Defender (ранее — Windows Defender). Баг, которому уже 12 лет, позволяет повысить права в системе, а в случае успешной атаки злоумышленники могут получить привилегии администратора.

Согласно статистике Microsoft, Microsoft Defender на сегодняшний день используют более 1 миллиарда пользователей операционной системы Windows 10.

Устранённая брешь получила идентификатор CVE-2021-24092, она затрагивает версии антивируса с 2009 года. Другими словами, как клиентские, так и серверные релизы с Windows 7 по Windows 10 позволяют атакующим получить права администратора при грамотной эксплуатации.

Само собой, киберпреступникам сначала надо попасть в систему жертвы хотя бы на низком уровне, а потом уже задействовать эксплойт для CVE-2021-24092. Сама атака в этом случае получается довольно сложной, но при этом не требует никакого взаимодействия с целевым пользователем.

Более того, уязвимость также затрагивает и другие продукты Microsoft: Microsoft Endpoint Protection, Microsoft Security Essentials и Microsoft System Center Endpoint Protection. Специалисты SentinelOne обнаружили проблему безопасности в ноябре 2020 года и сразу сообщили о ней корпорации.

В результате Micirosoft выпустила патч, но только в феврале 2021 года. Вероятно, разработчики не придали дыре особого значения из-за сложной схемы эксплуатации, иначе заплатка, по идее, должна была выйти гораздо раньше.

Как объяснили специалисты, брешь затрагивает драйвер BTR.sys (Boot Time Removal Tool), используемый при восстановлении.

«До выхода патча уязвимость просуществовала 12 лет. Возможно, причиной тому стал сложный метод эксплуатации. Как правило, этот драйвер не лежит на диске, а скачивается и активируется при необходимости, поэтому и атаковать его — дополнительная проблема», — гласит отчёт SentinelOne.

По словам Microsoft, выпущенный патч установится автоматически, пользователю для этого не нужно скачивать и инсталлировать его вручную, достаточно лишь убедиться, что автообновление включено по умолчанию.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 25 Ноября 2024 - 15:19

Уязвимости программ Домашние пользователи

Давно не обновляли 7-Zip? В нем может присутствовать RCE-уязвимость

Участник проекта Trend Micro Zero Day Initiative (ZDI) выявил в 7-Zip уязвимость, позволяющую выполнить вредоносный код в Windows. Патч вышел в составе сборки 24.07; обновление архиватора возможно лишь вручную.

Согласно бюллетеню ZDI, причиной появления проблемы CVE-2024-11477 является некорректная реализация механизма разуплотнения данных Zstandard, а точнее, неадекватная проверка пользовательского ввода.

Из-за этого возник риск возникновения целочисленного переполнения через нижнюю границу представления. Данную ошибку, по словам автора находки, можно использовать для выполнения произвольного кода в контексте текущего процесса.

Эксплойт возможен с помощью специально созданного архива; автору атаки также придется убедить пользователя открыть вредоносный файл. В случае успеха последствия могут быть различными, от кражи данных до полной компрометации целевой системы.

Получив отчет ZDI, разработчики создали патч и включили его в выпуск 24.07. Пользователям 7-Zip настоятельно рекомендуется обновить продукт до последней версии (текущая — 24.08).

Формат 7z не менее популярен, чем ZIP и RAR; в прошлом году его поддержка была добавлена в Windows 11. Сам архиватор с открытым кодом поддерживает MotW — защиту Windows от drive-by-загрузок, однако оказалось, что он плохо распознает угрозы, спрятанные путем конкатенации архивных файлов.