Ошибка 12-летней давности в Microsoft Defender предоставляет хакерам права администратора

Дата: 11.02.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Ошибка 12-летней давности в Microsoft Defender предоставляет хакерам права администратора

В Microsoft объявили об исправлении уязвимости повышения привилегий в Microsoft Defender. Ошибка позволяла киберпреступникам получать права администратора в незащищенных системах Windows.

Согласно статистике корпорации, Microsoft Defender является решением по умолчанию для защиты от вредоносного ПО, установленным более чем на 1 млрд. системах под управлением Windows 10.

Выявленная уязвимость повышения привилегий, которая отслеживается как CVE-2021-24092, актуальна для всех версий Microsoft Defender с 2009 года, а также влияет на все серверные и клиентские выпуски, начиная с Windows 7 и выше.

Киберпреступники с начальными пользовательскими права могут использовать уязвимость CVE-2021-24092 при проведении атак низкой сложности, что предполагает отсутствие какого-либо взаимодействия с пользователем. В Microsoft отмечают, что уязвимость затрагивает и другие продукты безопасности корпорации, в том числе: Endpoint Protection, Security Essentials и System Center Endpoint Protection.

Уязвимость CVE-2021-24092 была обнаружена компанией SentinelOne еще в ноябре 2020 года. 9 февраля 2021 года корпорация Microsoft объявила о выпуске патча для устранения этой ошибки, а также множества других уязвимостей.

Уязвимость CVE-2021-24092 была найдена в драйвере BTR.sys (более известном в качестве средства удаления времени загрузки), который применяется в процедуре исправления для удаления файлов и записей реестра, созданных вредоносным программным обеспечением в зараженных системах.

«До момента обнаружения и исправления уязвимости CVE-2021-24092 она оставалась незамеченной в течение 12 лет. Это происходило из-за специфичности характеристик активации этого конкретного механизма. Мы предполагаем, что эту ошибку было сложно найти, потому что драйвер BTR.sys обычно не присутствует на жестком диске пользователя, а активируется только при необходимости (со случайным именем) и удаляется», – отмечают в компании SentinelOne.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *