Przez 12 lat nikt nie zauważył dziury w Windows Defenderze

Program ochronny Microsoftu wyewoluował z biegiem lat i stał się jednym z najlepszych zabezpieczeń systemu Windows. Jednak przez cały ten okres miał krytyczną lukę, której wykorzystanie mogło mieć opłakane skutki.

Podatność wykryli eksperci z firmy SentinelOne, którzy natychmiast dali o tym znać Microsoftowi, zaś światu ujawnili ten fakt dopiero po wypuszczeniu stosownej łatki. Wiemy od nich, że luka znajdowała się we wszystkich wersjach Windows Defender na przestrzeni ostatnich dwunastu lat. Umożliwiała potencjalnemu włamywaczowi nadpisywanie plików oraz egzekwowanie złośliwego kodu, co mogło prowadzić zarówno do przejęcia maszyny, jak i zmiany jej ustawień. Wspomniane dwanaście lat to okres, w którym pojawiły się Windows 7, po nim Windows 8 i 8.1, a na końcu Windows 10. Dlaczego tak długo nie dostrzeżono błędu w tak istotnym aspekcie ochrony komputera? Częściowo odpowiada za to sama jego struktura - nie jest on aktywny na dysku, a istnieje jako biblioteka współdzielona, która jest ładowana przez Windows Defender wyłącznie na żądanie, a po użyciu - usuwania.

Dlatego podatność pojawiała się i znikała, jednak warto zauważyć, że Defender nie weryfikował pobieranej biblioteki, dlatego można było podstawić zmodyfikowaną, a następnie użyć jej do nadpisywania plików lub wykonywania złośliwego kodu. Microsoft określił podatność jako "wysoką", jednak zauważa, że do jej wykorzystania atakujący musi mieć wcześniej dostęp (fizyczny lub zdalny) do maszyny. Dlatego też bug prawdopodobnie nigdy nie został wykorzystany. Każdy, kto zainstalował łatkę wydaną przez Microsoft 9. lutego jest bezpieczny - poprawka zlikwidowała m.in. właśnie tę podatność.

Źródło: TechSpot

Grafika: Microsoft