Не замечали 12 лет: в Windows Defender обнаружена опасная уязвимость

Microsoft удалила 12-летнюю уязвимость в антивирусе Defender

Microsoft

В антивирусе Defender, являющимся базовым программным обеспечением для операционной системы Windows, была выявлена критическая уязвимость, которая оставалась незамеченной как ИБ-исследователями, так и киберпреступниками, на протяжении последних 12 лет. Учитывая, что аудитория Defender составляет около полумиллиарда человек по всему миру, потенциал вредоносной атаки с использованием этой уязвимости считается весьма высоким.

ИБ-компания SentinelOne обнаружила уязвимость в антивирусе Windows Defender, которая оставалась незамеченной на протяжении 12 лет, сообщает портал ArsTechnica.

Windows Defender, который в прошлом году был переименован в Microsoft Defender, является встроенным программным обеспечением для операционной системы Windows, призванный устранять угрозы безопасности. Уязвимость, которая получила название CVE-2021-24092, крылась в драйвере BTR.sys. Она затрагивает версии антивируса с 2009 года.

Как сообщили исследователи, выявившие уязвимость, вышеуказанный драйвер удаляет вредоносные файлы, заменяя их на доброкачественные в процессе устранения угрозы. При этом система не проверяет этот новый файл, созданный в качестве замены. В результате киберпреступник мог бы использовать эту брешь, чтобы заставить драйвер перезаписать любой файл, или даже запустить зловредный код в системе, получив права администратора.

Более того, масштабы такой атаки были бы по-настоящему грандиозными, учитывая, что Microsoft Defender по умолчанию является частью Windows — по данным компании, он установлен на 500 тыс. устройств по всему миру.

Отмечается, что SentinelOne выявила уязвимость еще в ноябре 2020 года, но Microsoft выпустила патч только в начале февраля. Известно, что обновление не требует участия пользователя, если только в его операционной системе не отключены автоматически апдейты. В таком случае рекомендуется запустить процесс установки патча немедленно, чтобы быть защищенным от возможных злоупотреблений.

SentinelOne и Microsoft утверждают, что нет никаких свидетельств того, что этой уязвимостью кто-либо воспользовался — есть шанс, что на протяжении 12 лет она оставалась неизвестной не только для «безопасников», но и для хакеров. Однако теперь, когда информация о ней появилась в прессе, есть вероятность того, что киберпреступники будут активно пытаться выяснить, как можно ею воспользоваться. Если вспомнить атаку вируса WannaCry в 2017 году, которая стала возможной из-за того, что частные лица и организации игнорируют актуальные обновления операционной системы, такой сценарий вполне возможен.

Выявленная уязвимость наглядно показывает важность анализа защищенности софтверных продуктов до этапа публикации, рассказывает Евгений Суханов, директор департамента информационной безопасности компании Oberon.

«Из-за ограниченных возможностей использования (скомпрометированный драйвер удаляется при отсутствии активности защитника Windows) уязвимость не получила широкое применение, но наверняка ответить на этот вопрос уже невозможно.

Риск ее эксплуатации достаточно высок, поскольку многие пользовательские ПК используют старые ОС даже после окончания срока поддержки продукта», — считает Суханов.

«Говоря о факте обнаружения уязвимости в драйвере Windows Defender, нет никакой гарантии, что калифорнийские специалисты SentinelOne были действительно первыми, кто нашел баг. Они первыми сообщили об этом. Не исключаю, что уязвимость давно могла эксплуатироваться злоумышленниками, но не массово, а точечно – на ПК и рабочих станциях под защитой Windows Defender», — считает технический директор ESET в России и СНГ Виталий Земских.

По его словам, многолетние скрытые уязвимости – достаточно распространенная вещь для различного ПО. Закрытый код таких операционных систем, как Windows, не дает разработчикам софта возможности глубоко изучить все возможные ошибки при написании программ. Поэтому уязвимости нулевого дня всплывают довольно часто у любого производителя, рассказывает Земских. По его словам, ИТ-администраторам следует немедленно установить обновления безопасности Windows и не ждать, пока кто-то попытается воспользоваться опубликованными данными об ошибках.

На вопрос о том, вызовет ли новость об уязвимости всплеск попыток злоупотреблений со стороны хакеров, исследователь вредоносных программ в Avast Адольф Стреда ответил уклончиво.

«К сожалению, мы не можем этого предсказать. Все пользователи Windows должны обновиться до последней версии программы, в которой будет новый патч, предотвращающий использование этой уязвимости», — заявил эксперт.

По его словам, некоторые уязвимости в программном обеспечении действительно остаются незамеченными на протяжении десяти и более лет, и для таких упущений есть множество возможных причин.

«Большая часть распространяемого сегодня ПО является чрезвычайно сложной (ядро Linux содержит ~ 28 миллионов строк кода) и поддерживается годами или даже десятилетиями, проходя через руки разных разработчиков. Программистам может быть непросто –– многие языки программирования по-прежнему работают с небезопасными для памяти операциями – это еще одна возможная ловушка, которую программист должен остерегаться.

Для некоторых программ этот процесс усложняется –– например для таких, как Windows Defender, которые не раскрывают свой исходный код. Только ограниченное количество людей, способных найти такие уязвимости, имеет доступ к исходному коду, а остальным приходится заниматься реверс-инжинирингом продукта или фаззингом – когда вы вводите случайные/неожиданные данные в программное обеспечение, надеясь его вывести из строя», — заключил Стреда.