微软将Windows Defender集成到Windows操作系统已有很长时间了。最近,这家软件巨头修补了Windows Defender中的一个漏洞,该漏洞已经12年未被发现。该漏洞最早于去年秋天被安全研究人员发现。值得庆幸的是,黑客已经十多年没有发现该漏洞了。
安全公司SentinelOne的研究人员发现了Windows Defender(现在称为Microsoft Defender)用于删除恶意软件创建的入侵文件和基础结构的驱动程序中的缺陷。当此特定的驱动程序删除了恶意文件时,它将在修复过程中用新的占位符文件替换该文件。安全研究人员发现该系统未专门验证新文件。
由于新文件未经验证,攻击者可以插入战略系统链接,指导驱动程序覆盖错误的文件或运行恶意代码。攻击者可以利用Microsoft的保护软件来处理各种形式的恶意任务,而该缺陷已经存在。利用此漏洞的攻击者可能删除了软件或数据,并指示驱动程序运行其代码来接管计算机。
SentinelOne的研究人员说,该错误允许特权升级。这意味着以低特权运行的软件可能会将这些特权提升到管理员级别,并危及计算机。该漏洞于2020年11月中旬首次报告给Microsoft,上个星期二发布了一个补丁。
Microsoft将该漏洞视为“高”风险。但是,只有在攻击者已经可以远程或物理访问目标计算机的情况下,它才能被利用。通过对目标计算机的远程或物理访问,它可能会受到威胁,从而允许访问目标设备的网络而无需访问管理员的特权用户帐户。至于该漏洞如何长期被安全研究人员和黑客隐藏起来,安全研究人员认为,这是因为易受攻击的驱动程序并未完全存储在计算机硬盘驱动器上。而是将其存储在Windows动态链接库中。
