Стало известно о том, что разработчики из Microsoft исправили опасную уязвимость в своём фирменном антивирусе, которая затрагивала все версии Microsoft Defender, начиная с 2009 года. Уязвимости, которая отслеживалась с идентификатором CVE-2021-24092, связана с повышением привилегий в Microsoft Defender с последующим получением прав администратора в атакуемой системе.
Упомянутая уязвимость была обнаружена специалистами американской компании SentinelOne, работающей в сфере информационной безопасности, в ноябре прошлого года. Злоумышленники с правами пользователя могли использовать её для проведения атак низкой сложности, которые не предполагают какого-либо взаимодействия с жертвой. Однако для эксплуатации CVE-2021-24092 хакеру необходимо иметь удалённый или физический доступ к целевому устройству. Согласно имеющимся данным, проблема затрагивала не только Microsoft Defender, но и другие продукты безопасности, в том числе Microsoft Endpoint Protection, Microsoft Security Essentials и Microsoft System Center Endpoint Protection.
Уязвимость, которую более десяти лет не удавалось обнаружить, находилась в драйвере BTR.sys, который также известен как средство удаления загрузочного времени. Он используется антивирусом в процессе устранения выявленных угроз для удаления файлов и записей реестра, созданных вредоносным программным обеспечением.
По мнению исследователей, проблема оставалась скрытой так долго, потому что уязвимый драйвер не хранится на жёстком диске постоянно. Вместо этого он является частью библиотеки динамической компоновки (Dynamic Link Library) в Windows, которая используется антивирусом только в случае необходимости. Microsoft и SentinelOne не нашли никаких подтверждений того, что упомянутая уязвимость использовалась злоумышленниками на практике.
Исправление CVE-2021-24092 стало частью февральского патча безопасности, который был выпущен в рамках программы Patch Tuesday на этой неделе.