V Microsoftovem antivirusu ranljivost tičala 12 let
Matej Huš
13. feb 2021 ob 21:14:13
V Microsoftovem protivirusnem programu, ki ga vsebuje Windows, so zakrpali 12 let staro ranljivost, za katero do nedavna niso vedeli ne proizvajalec ne napadalci. V Microsoft Defenderju (včasih se je imenoval Windows Defender) je vsaj od leta 2009 tičala ranljivost (CVE-2021-24092), ki je omogočala napad z eskalacijo privilegijev. Prizadete so verzije Windows 7 in novejše ter programska oprema, ki uporablja iste klice: Microsoft Endpoint Protection, Microsoft Security Essentials, in Microsoft System Center Endpoint Protection.
O ranljivosti so prvi poročali na SentinelOne novembra lani, v februarskem paketu popravkov pa je Microsoft pripravil rešitev. Težava je tičala v gonilniku BTR.sys (Boot Time Removal Tool), ki se uporablja pri brisanju okuženih datotek. Predvidevajo, da je ostala tako dolgo neodkrita, ker ta gonilnik ni ves čas aktiven, temveč se namesti in aktivira le, ko je potreben, potem pa se odstrani. Težava je, da gonilnik ne preveri datotek, ki jih kot obnovljene vrne namesto okuženih. To pa napadalcem omogoča, da ga pretentajo v namestitev zlonamernih datotek in poganjanje zlonamerne kode.
Gre za eno dlje časa neodkritih napak, nikakor pa ne za rekorderko. V Windows so odkrili tudi že 20 let stare ranljivosti, pa 17 let stare luknje v DNS itd.