Не защищает, а угрожает: в главном антивирусе Windows нашли уязвимость

7e6c04cf7a85a6d83c8ca14b8471c340

Microsoft пришлось откорректировать работу антивирусной программы после определения ошибки, о которой стало известно еще в конце прошлого года. Оказалось, что злоумышленники тоже не дремлют, изыскивая все новые и новые возможности наносить вред пользователям. После взлома Adobe Flash или эксплойта EternalBlue для Windows надо быть на чеку.

13ced4adb06f5ce9885a3f1dc4549194

Время исправлять недочеты

Критическую ошибку вездесущего антивируса Microsoft Windows Defender, которая оставалась незаметной на протяжении последних 12 лет, не замечали ни злоумышленники, ни защитники. После исправления сотрудниками Microsoft этого упущения, главное – не допустить активации вредоносной деятельности хакеров.

Наличие уязвимости исследователи из службы безопасности SentinelOne обнаружили в драйвере, который Windows в прошлом году переименовал, назвав Microsoft Defender. Цель его использования – удалять вредоносные файлы и инфраструктуру, способные на создание вредоносных программ и вирусов.

97d73162499dbff50d1728309d00ffd8

Особенности обновления

В процессе удаления драйвером вредоносного файла происходит закономерная замена его на новый, безопасный, способный восполнить отсутствие первого файла, пока его исправляют. Но исследователям удалось обнаружить особенности системы, которая начинает работу над проверкой нового файла.

Эта особенность позволяет злоумышленникам воспользоваться стратегическими системными ссылками, способными заставить драйвер выполнить перезапись неправильного файла или даже запуск вредоносного кода.

f02e4f4ad861cf5eed8e17f9209b5eed

Максимум преимуществ

Функции Защитника Windows оказывали огромную пользу злоумышленникам для проведения манипуляций, так как он шел в комплекте с Windows и устанавливался по умолчанию. Это означает, что им пользовались на миллионах компьютерных устройств и серверов во всем мире.

Новой антивирусной программе доверяет операционная система, а на уязвимом драйвере есть криптографическая подпись Microsoft, свидетельствующая о его легитимности.

Практически это позволяет злоумышленнику, использующему уязвимость, выполнить удаление важного программного обеспечения или данных. Существует потенциальная возможность для запуска драйвером своего собственного кода, приводящая к захвату устройства.

f35ae6b4fece91246fcdaefecf31fc4e

Комментарии разработчиков

Наличие этой ошибки поможет обеспечить повышение привилегий, по словам Касифа Декеля, старшего исследователя безопасности, сотрудника SentinelOne. Программному обеспечению, работающему с функциями низких привилегий, удастся вырасти до уровня административной привилегии, что приведет к наличию потенциальной угрозы для машины.

Ошибку сотрудники SentinelOne обнаружили еще в середине ноября. В компании Microsoft оценили уровень риска уязвимости как «высокий», но с наличием важных оговорок. «Машина» может стать уязвимой только в случае наличия у злоумышленника доступа – удаленного или физического – к управлению целевым устройством.

Следовательно, далеко не во всех случаях хакер мог бы воспользоваться недостатками системы. Но даже малейшая возможность способна нанести колоссальный вред, а значит, ее надо пресечь. У разработчиков антивирусной программы впереди много работы. Надеемся, все недостатки будут ликвидированы в кратчайшие сроки.

Источник

Только что написал(а)
смотреть
пишет
Обсудить
Поделиться
author
пишет сообщение