Microsoft исправила 12-летний баг в Windows Defender

Брешь обнаружили специалисты компании SentinelOne. Она связана с драйвером Defender, который удаляет компоненты, создаваемые вредоносным ПО, и на время очистки заменяет их новым, безопасным файлом. Система не проверяет этот файл, что даёт хакерам возможность заставить драйвер перезаписать зловредный файл или запустить в системе жертвы произвольный код.

В Microsoft об уязвимости сообщили в прошлом ноябре, во вторник 9 февраля компания выпустила исправление. Отмечается, что хакеры могут использовать её, только если уже получили удалённый или физический доступ к устройству, то есть в большинстве случаев она работала бы вместе с другими эксплойтами. Так или иначе, она допускает повышение привилегий в Windows Defender вплоть до уровня администратора на атакуемом устройстве.

Ни Microsoft, ни SentinelOne не нашли следов того, что уязвимость эксплуатировалась злоумышленниками. Подробности атаки исследователи не раскрывают, чтобы обновление установило как можно больше пользователей.

Специалисты SentinelOne считают, что аналогичная проблема может иметь место в других антивирусных программах.