То, что уязвимость устарела, не означает, что она бесполезна. Будь то взлом Adobe Flash или эксплойт EternalBlue для Windows , некоторые методы слишком хороши, чтобы злоумышленники могли отказаться от них, даже если их расцвет уже давно истек . Но критическая ошибка 12-летней давности в вездесущем антивирусе Microsoft Windows Defender до недавнего времени, по-видимому, игнорировалась как злоумышленниками, так и защитниками. Теперь, когда Microsoft наконец-то исправила его, главное - убедиться, что хакеры не пытаются наверстать упущенное.
Уязвимость, обнаруженная исследователями из компании SentinelOne, была обнаружена в драйвере, который Защитник Windows, переименованный в прошлом году в Microsoft Defender, использует для удаления вредоносных файлов и инфраструктуры, которые могут создавать вредоносные программы. Когда драйвер удаляет вредоносный файл, он заменяет его новым, безопасным, как своего рода заполнитель во время исправления. Но исследователи обнаружили, что система специально не проверяет этот новый файл. В результате злоумышленник может вставить стратегические системные ссылки, которые заставят драйвер перезаписать неправильный файл или даже запустить вредоносный код.
Защитник Windows будет бесконечно полезен злоумышленникам для таких манипуляций, потому что он поставляется с Windows по умолчанию и, следовательно, присутствует на сотнях миллионов компьютеров и серверов по всему миру. Антивирусная программа также пользуется большим доверием в операционной системе, а уязвимый драйвер криптографически подписан Microsoft, чтобы доказать его легитимность. На практике злоумышленник, использующий уязвимость, может удалить важное программное обеспечение или данные или даже дать драйверу команду запустить собственный код, чтобы захватить устройство.
«Эта ошибка позволяет повысить привилегии», - говорит Касиф Декель, старший исследователь безопасности в SentinelOne. «Программное обеспечение, работающее с низкими привилегиями, может повысить до административных привилегий и поставить под угрозу машину».
SentinelOne впервые сообщил об ошибке в Microsoft в середине ноября, а во вторник компания выпустила патч. Microsoft оценила уязвимость как «высокий» риск, хотя есть важные оговорки. Уязвимость может быть использована только тогда, когда злоумышленник уже имеет доступ - удаленный или физический - к целевому устройству. Это означает, что это не универсальный магазин для хакеров, и его нужно будет использовать вместе с другими эксплойтами в большинстве сценариев атак. Но он все равно будет привлекательной целью для хакеров, у которых уже есть такой доступ. Злоумышленник может воспользоваться тем, что скомпрометировал любую машину Windows, чтобы глубже проникнуть в сеть или устройство жертвы, не получая сначала доступа к привилегированным учетным записям пользователей, например учетным записям администраторов.
SentinelOne и Microsoft соглашаются, что нет никаких доказательств того, что уязвимость была обнаружена и использована до анализа исследователей. А SentinelOne не раскрывает подробностей о том, как злоумышленники могут использовать уязвимость, чтобы дать Microsoft время для распространения исправлений. Однако теперь, когда результаты открыты, это лишь вопрос времени, когда злоумышленники придумают, как им воспользоваться. Представитель Microsoft отметил, что любой, кто установил патч от 9 февраля или включил автоматические обновления, теперь защищен.
Вечность
В мире основных операционных систем десяток лет - долгий срок, чтобы скрыть плохую уязвимость. Исследователи говорят, что, возможно, он присутствовал в Windows и дольше, но их исследование ограничивалось тем, как долго инструмент безопасности VirusTotal хранит информацию об антивирусных продуктах. В 2009 году Windows Vista была заменена Windows 7 в качестве текущего выпуска Microsoft.
Исследователи предполагают, что ошибка оставалась скрытой так долго, потому что уязвимый драйвер не хранится на жестком диске компьютера постоянно, как драйверы вашего принтера. Вместо этого он находится в системе Windows, называемой «библиотекой динамической компоновки», и Защитник Windows загружает ее только при необходимости. Как только драйвер завершит работу, он снова будет удален с диска.
«Наша исследовательская группа заметила, что драйвер загружается динамически, а затем удаляется, когда он не нужен, что не является обычным явлением», - говорит Декел из SentinelOne. «Мы изучили это. Подобные уязвимости могут существовать и в других продуктах, и мы надеемся, что, раскрывая их, мы поможем другим оставаться в безопасности».
Время от времени возникают исторические ошибки - от неисправности модема Mac 20-летней давности до ошибки зомби 10-летней давности в настольных телефонах Avaya. Разработчики и исследователи безопасности не могут уловить все каждый раз. Это даже раньше случалось с Microsoft. В июле, например, компания исправила потенциально опасную 17-летнюю уязвимость Windows DNS. Как и многое другое в жизни, лучше поздно, чем никогда.
