В Microsoft объявили об исправлении уязвимости повышения привилегий в Microsoft Defender. Ошибка позволяла киберпреступникам получать права администратора в незащищенных системах Windows.
Согласно статистике корпорации, Microsoft Defender является решением по умолчанию для защиты от вредоносного ПО, установленным более чем на 1 млрд. системах под управлением Windows 10.
Выявленная уязвимость повышения привилегий, которая отслеживается как CVE-2021-24092, актуальна для всех версий Microsoft Defender с 2009 года, а также влияет на все серверные и клиентские выпуски, начиная с Windows 7 и выше.
Киберпреступники с начальными пользовательскими права могут использовать уязвимость CVE-2021-24092 при проведении атак низкой сложности, что предполагает отсутствие какого-либо взаимодействия с пользователем. В Microsoft отмечают, что уязвимость затрагивает и другие продукты безопасности корпорации, в том числе: Endpoint Protection, Security Essentials и System Center Endpoint Protection.
Уязвимость CVE-2021-24092 была обнаружена компанией SentinelOne еще в ноябре 2020 года. 9 февраля 2021 года корпорация Microsoft объявила о выпуске патча для устранения этой ошибки, а также множества других уязвимостей.
Уязвимость CVE-2021-24092 была найдена в драйвере BTR.sys (более известном в качестве средства удаления времени загрузки), который применяется в процедуре исправления для удаления файлов и записей реестра, созданных вредоносным программным обеспечением в зараженных системах.
«До момента обнаружения и исправления уязвимости CVE-2021-24092 она оставалась незамеченной в течение 12 лет. Это происходило из-за специфичности характеристик активации этого конкретного механизма. Мы предполагаем, что эту ошибку было сложно найти, потому что драйвер BTR.sys обычно не присутствует на жестком диске пользователя, а активируется только при необходимости (со случайным именем) и удаляется », – отмечают в компании SentinelOne.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ