Η Microsoft διόρθωσε μια privilege escalation ευπάθεια στο Microsoft Defender Antivirus (πρώην Windows Defender) που θα μπορούσε να επιτρέψει στους επιτιθέμενους να αποκτήσουν δικαιώματα διαχειριστή σε ευάλωτους Windows υπολογιστές.
Σύμφωνα με τη Microsoft, το Microsoft Defender Antivirus είναι το προεπιλεγμένο antivirus πρόγραμμα σε περισσότερα από 1 δισεκατομμύριο συστήματα με Windows 10.
Η ευπάθεια με το όνομα CVE-2021-24092 επηρεάζει παλιότερες εκδόσεις Defender (από το 2009 και έπειτα) και client και server releases, ξεκινώντας από τα Windows 7 και έπειτα.
Επιτιθέμενοι με βασικά δικαιώματα χρήστη μπορούν να εκμεταλλευτούν την ευπάθεια τοπικά, στα πλαίσια επιθέσεων που δεν απαιτούν αλληλεπίδραση χρήστη.
 που θα μπορούσε να επιτρέψει){kind=link}
Επιπλέον, έχει βρεθεί ότι η ευπάθεια επηρεάζει και άλλα προϊόντα ασφαλείας της Microsoft, συμπεριλαμβανομένων των Microsoft Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Security Essentials κ.ά.
Ερευνητές της SentinelOne ανακάλυψαν και ανέφεραν την ευπάθεια τον Νοέμβριο του 2020. Η Microsoft κυκλοφόρησε ένα patch την Τρίτη, μαζί με το Patch Tuesday Φεβρουαρίου 2021.
Η ευπάθεια υπήρχε εδώ και δώδεκα χρόνια
Η ευπάθεια ανακαλύφθηκε στο BTR.sys driver, που είναι επίσης γνωστό ως Boot Time Removal Tool.
Σύμφωνα με τη SentinelOne, η ευπάθεια δεν είχε ανακαλυφθεί εδώ και δώδεκα χρόνια. Αυτό οφείλεται πιθανότατα στον τρόπο ενεργοποίησης αυτού του συγκεκριμένου μηχανισμού.
“Υποθέτουμε ότι αυτή η ευπάθεια παρέμεινε ανεξερεύνητη μέχρι τώρα, επειδή ο driver συνήθως δεν υπάρχει στον σκληρό δίσκο. Προφανώς γινόταν εγκατάσταση και ενεργοποίηση όταν χρειαζόταν (με ένα τυχαίο όνομα) και στη συνέχεια αφαιρούνταν“.
Τα Windows συστήματα θα πρέπει να ενημερωθούν για να προστατευτούν από αυτή την ευπάθεια.
“Φυσικά, παρόλο που φαίνεται ότι δεν έχει αξιοποιηθεί η ευπάθεια, οι εγκληματίες πιθανότατα θα καταλάβουν πώς μπορούν να την εκμεταλλευτούν σε ευάλωτα συστήματα“, κατέληξε η SentinelOne.
“Επιπλέον, δεδομένου ότι η ευπάθεια υπάρχει σε όλες τις εκδόσεις του Windows Defender από το 2009, πολλοί χρήστες ίσως να μην μπορούν να εφαρμόσουν την ενημέρωση κώδικα, αφήνοντας τα συστήματά τους εκτεθειμένα σε μελλοντικές επιθέσεις“.
Πηγή: Bleeping Computer