Różności i nowinki technologia

Luka w programie Windows Defender czaiła się niewykryta przez 12 lat

Luka w programie Windows Defender czaiła się niewykryta przez 12 lat

Drew Angerer | Getty Images

To, że luka jest stara, nie oznacza, że ​​jest nieprzydatna. Niezależnie od tego, czy jest to hakowanie Adobe Flash, czy exploit EternalBlue dla systemu Windows, niektóre metody są po prostu zbyt dobre, aby atakujący mogli porzucić, nawet jeśli minęły lata. Ale krytyczny, 12-letni błąd we wszechobecnym programie antywirusowym Windows Defender firmy Microsoft był do niedawna przeoczony zarówno przez atakujących, jak i obrońców. Teraz, gdy Microsoft w końcu go załatał, kluczem jest upewnienie się, że hakerzy nie próbują nadrobić straconego czasu.

Luka wykryta przez badaczy z firmy zajmującej się bezpieczeństwem SentinelOne pojawiła się w sterowniku, którego Windows Defender – w zeszłym roku przemianowany na Microsoft Defender – używa do usuwania inwazyjnych plików i infrastruktury, które może stworzyć złośliwe oprogramowanie. Kiedy sterownik usuwa złośliwy plik, zastępuje go nowym, niegroźnym plikiem jako rodzaj symbolu zastępczego podczas naprawy. Ale naukowcy odkryli, że system nie weryfikuje specjalnie tego nowego pliku. W rezultacie osoba atakująca może wstawić strategiczne łącza systemowe, które kierują sterownik do nadpisania niewłaściwego pliku lub nawet uruchomienia złośliwego kodu.

Program Windows Defender byłby nieskończenie przydatny dla atakujących w przypadku takiej manipulacji, ponieważ jest domyślnie dostarczany z systemem Windows i dlatego jest obecny na setkach milionów komputerów i serwerów na całym świecie. Program antywirusowy cieszy się również dużym zaufaniem w systemie operacyjnym, a podatny na ataki sterownik jest podpisany kryptograficznie przez firmę Microsoft w celu udowodnienia jego legalności. W praktyce osoba atakująca wykorzystująca lukę może usunąć kluczowe oprogramowanie lub dane, a nawet nakazać sterownikowi uruchomienie własnego kodu w celu przejęcia urządzenia.

„Ten błąd umożliwia eskalację uprawnień” – mówi Kasif Dekel, starszy badacz ds. Bezpieczeństwa w SentinelOne. „Oprogramowanie działające z niskimi uprawnieniami może zostać podniesione do uprawnień administratora i zagrozić działaniu komputera”.

SentinelOne po raz pierwszy zgłosił błąd firmie Microsoft w połowie listopada, a firma udostępniła poprawkę we wtorek. Firma Microsoft oceniła tę lukę jako „wysokie” ryzyko, chociaż istnieją ważne zastrzeżenia. Tę lukę można wykorzystać tylko wtedy, gdy osoba atakująca ma już dostęp – zdalny lub fizyczny – do urządzenia docelowego. Oznacza to, że nie jest to punkt kompleksowej obsługi dla hakerów i musiałby być wdrażany wraz z innymi exploitami w większości scenariuszy ataków. Ale nadal byłby atrakcyjnym celem dla hakerów, którzy już mają taki dostęp. Osoba atakująca może wykorzystać włamanie na dowolną maszynę z systemem Windows, aby wejść głębiej w sieć lub urządzenie ofiary bez konieczności uzyskiwania dostępu do uprzywilejowanych kont użytkowników, takich jak konta administratorów.

SentinelOne i Microsoft zgadzają się, że nie ma dowodów na to, że wada została odkryta i wykorzystana przed analizą naukowców. A SentinelOne nie podaje szczegółowych informacji na temat tego, w jaki sposób osoby atakujące mogą wykorzystać tę lukę, aby dać czas na rozpowszechnienie łatki firmy Microsoft. Jednak teraz, gdy odkrycia są upublicznione, to tylko kwestia czasu, zanim źli aktorzy wymyślą, jak to wykorzystać. Rzecznik Microsoftu zauważył, że każdy, kto zainstalował poprawkę z 9 lutego lub włączył automatyczne aktualizacje, jest teraz chroniony.

W świecie popularnych systemów operacyjnych kilkanaście lat to dużo czasu na ukrycie złej luki. Naukowcy twierdzą, że może być obecny w systemie Windows jeszcze dłużej, ale ich badanie było ograniczone przez to, jak długo narzędzie bezpieczeństwa VirusTotal przechowuje informacje o produktach antywirusowych. W 2009 roku system Windows Vista został zastąpiony przez system Windows 7 jako aktualna wersja firmy Microsoft.

Naukowcy wysuwają hipotezę, że błąd pozostawał ukryty tak długo, ponieważ podatny sterownik nie jest przechowywany na dysku twardym komputera w pełnym wymiarze czasu, tak jak sterowniki drukarki. Zamiast tego znajduje się w systemie Windows zwanym „biblioteką dołączaną dynamicznie”, a program Windows Defender ładuje ją tylko wtedy, gdy jest to potrzebne. Gdy sterownik zakończy pracę, zostanie ponownie usunięty z dysku.

„Nasz zespół badawczy zauważył, że sterownik jest ładowany dynamicznie, a następnie usuwany, gdy nie jest potrzebny, co nie jest typowym zachowaniem”, mówi Dekel z SentinelOne. „Więc przyjrzeliśmy się temu. Podobne luki mogą istnieć w innych produktach i mamy nadzieję, że ujawniając to, pomożemy innym zachować bezpieczeństwo ”.

Od czasu do czasu pojawiają się historyczne błędy, od 20-letniego błędu modemu Maca po dziesięcioletni błąd zombie w telefonach stacjonarnych Avaya. Programiści i badacze bezpieczeństwa nie mogą za każdym razem złapać wszystkiego. Już wcześniej zdarzyło się to Microsoftowi. Na przykład w lipcu firma załatała potencjalnie niebezpieczną 17-letnią lukę DNS w systemie Windows. Jak z wieloma rzeczami w życiu, lepiej późno niż wcale.

Ta historia pojawiła się pierwotnie na wired.com.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook