• ГлавнаяНовостиНовостиНовости, 202102Новости, 202102 → В штатном антивирусе Windows 12 лет зияла брешь для захвата ПК

      В штатном антивирусе Windows 12 лет зияла брешь для захвата ПК

      Обнаруженный сторонними экспертами баг позволял использовать Defender для повреждения операционной системы или захвата контроля над компьютером. Но только при условии, что система уже скомпрометирована.

      КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;font-weight:700;border:1.5px solid black;border-radius:4px;transition:0.4s;}.buttons:hover {background-color:#4CAF50;color:white;box-shadow:0 12px 16px 0 rgba(0,0,0,0.24), 0 17px 50px 0 rgba(0,0,0,0.19);cursor:pointer;}

12 лет спустя

Microsoft устранила уязвимость в своем антивирусе Microsoft Defender, которую не могли обнаружить в течение 12 лет. В конце концов ее все-таки выявили эксперты компании SentinelOne.

Как выяснилось, она затаилась в драйвере, отвечающем за удаление локальных данных и прочей инфраструктуры, которую могут создавать вредоносные программы. Антивирус создает на месте удаленного файла другой, безвредный, в качестве промежуточной «заглушки». Однако, как установили исследователи, он не производит последующей проверки нового файла и его местоположения.

У злоумышленников возникает возможность подставлять стратегически важные ссылки, так что антивирус перезаписывает не следы жизнедеятельности вредоносов, а какой-либо системный файл или даже сам запускает вредоносный код.

Возможность такой манипуляции могла бы превратить Defender из защитного инструмента в великолепное подспорье хакерам, и по целому ряду причин. Во-первых, это штатный антивирус Windows, соответственно, его распространенность сопоставима с распространенностью самой операционной системы. Во-вторых, и сам антивирус, и, в частности, его уязвимый драйвер пользуются высшим уровнем доверия в контексте операционной системы. Это означает, что с помощью определенных манипуляций можно заставить антивирус беспрепятственно удалить ключевые файлы операционной системы, выведя ее из строя, а также запустить произвольный код и перехватить контроль над системой полностью.

В Microsoft Defender 12 лет таилась привлекательная для хакеров уязвимость

В SentinelOne отмечают, что баг позволяет повышать системные привилегии до административных, что также может быть очень полезно для вредоносных программ.

Есть, правда, одно существенное ограничение, которое и позволило Microsoft присвоить баг статус опасного, но не критичного: для эксплуатации уязвимости нужен локальный доступ к системе. Не обязательно физический, но в любом случае, система уже должна быть скомпрометирована.

И этого достаточно

Но и с этим ограничением возможности для эксплуатации остаются весьма солидными: злоумышленник может взять систему под полный контроль и проникнуть глубоко в локальную сеть без необходимости получать административный доступ к ней.

Патч вышел 9 февраля 2021 г. К настоящему моменту нет никаких свидетельств тоого, что уязвимость кто-то пытался эксплуатировать, однако в SentinelOne решили задержать публикацию сведений о проблеме до того момента, как патч разойдется по максимальному количеству систем в мире.

Причины многолетнего игнорирования

Одной из причин, по которой уязвимость не замечали долгие годы, стала особенность самого драйвера. Он не присутствует в системе постоянно, вместо этого его загружают из библиотеки динамического подключения (DLL) по мере надобности и сразу после использования он снова удаляется с диска.

Действительно, как напоминает Wired, в июле 2020 г. стало известно об уязвимости в службе Windows DNS, которая могла быть использована для распространения вредоносов-червей. Как выяснилось, этот баг, получивший 10 баллов угрозы из 10 возможных, появился в коде службы еще 17 лет назад. И никто за это время его так и не нашел.

Еще более древней оказалась уязвимость в компонентах macOS, отвечающих за подключение модемов; она появилась в 1999 г. в MacOS 9, и была унаследована более поздними версиями операционной системы Apple. Впрочем, после 2016 г. ее эксплуатация стала малоосуществимой.

«Можно назвать большой удачей, что SentinelOne были первыми, кто обнаружил проблему, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Эксплуатируя этот баг, злоумышленники действительно могли бы причинить немало вреда. На самом деле, у них и сейчас еще остается окно возможностей для этого: исправления вышли в минувший вторник, но понятно, что пройдет какое-то время, прежде чем они будут установлены повсеместно. Пользователям рекомендуется не затягивать с установкой и сохранять бдительность».

«Уязвимости многолетней выдержки — не такая редкая вещь, — продолжает Кирюхин. — Любое ПО — это сложная система, которая использует большое количество сторонних компонентов, написанных в разное время людьми с очень разной квалификацией. Ошибки могут сидеть глубоко в коде, ничем особо себя не выдавая. Поэтому до их обнаружения иногда проходят годы».

Короткая ссылка Распечатать

Другие материалы рубрики

«Сбербанк онлайн» защитится «песочницей» за полтора миллиарда

«Яндекс» сдал своего сотрудника правоохранителям за взлом тысяч почтовых ящиков клиентов

Хакеры активно захватывают ПК пользователей через Adobe Acrobat Reader и Photoshop

Критическая проблема в бизнес-платформе SAP получила индекс угрозы 9,9 из 10 возможных

«Программный Продукт» вошел в состав учредителей ведущего разработчика SIEM-систем

В криптобиблиотеке для Linux и macOS нашлась предельно простая для использования брешь

Техника Лучшие видеорегистраторы с радар-детектором: хиты продажОбзор холодильника Samsung RB7300: простор и свежесть продуктовТехноблог5G против Wi-Fi 6 — чем они отличаются и зачем вам обеTWS-наушники с активным шумоподавлением: выбор ZOOMПоказать еще Книга месяца Почему вам надо прочитать книгу «Бизнес в условиях перемен»

Александр Глазков

председатель совета директоров компании «Диасофт»

ИТ в искусстве Технологии должны быть
только там, где они уместны

Владимир Определенов

CDTO ГМИИ им. А.С. Пушкина

Событие месяца Роботы, блокчейн, ИИ — в Москве проходит выставка новейших технологий

ИТ в искусстве Технологии должны быть
только там, где они уместны

Владимир Определенов

CDTO ГМИИ им. А.С. Пушкина

Книга месяца Почему вам надо прочитать книгу «Бизнес в условиях перемен»

Александр Глазков

председатель совета директоров компании «Диасофт»

Технология месяца Как менять бизнес-процессы компании в режиме реального времени

Что дает бизнесу
Process Intelligence?

Flash окончательно изгонят из Windows. Пути назад больше нет

Microsoft выпустит обязательное крупное обновление 21H1 для Windows 10, которое принудительно удалит с компьютеров Flash Player. Отказаться от установки патчей нельзя – в системе отключена возможность блокировки автоматического обновления....

IDC: в 2020 году рост российского ИТ-рынка составил 14%

19:08 03.05.2021 |-nbsp;-nbsp; 474 ...

Стартап экс-замминистра связи создаст электротакси вместе с Uber

Uber и компания Arrival, созданная экс-замминистра связи Денисом Свердловым, разработают электротакси для пассажирских перевозок. Автомобиль будет создан с учетом потребностей водителей, проводящих большую часть жизни за рулем, но и про комфорт пасса...

«Яндекс» договорился о покупке банка

20:53 29.04.2021 |-nbsp;-nbsp; 2189 ...

Легендарная Yahoo продается за бесценок

Телеком-гигант Verizon продает пионеров американского интернета Yahoo и AOL за $5 млрд. Их он купил в 2017 г. и 2015 г. соответственно в сумме более чем за $9 млрд, и в итоге он продает их на $4,1 млрд дешевле. Прибыли эти компании ему не принесли – ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики | Каталог | Новости | Контакты |
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:1px auto;}.rubcontent{display:block;line-height:25px;border-radius:5px 10px 0 0;border:1px solid #542437;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:20px;}.hidden, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}/*Карта сайта - свернуть/развернуть: ВСЕ - пока не все работает#checkbox_menu_all:checked + label + .cd-accordion-menu li ul{display:inline;}#checkbox_menu_all:checked + label + .cd-accordion-menu{display:none;}#checkbox_menu_all:checked + label + .cd-accordion-menu + .cd-accordion-menu_ya-share2{display:none;}*/@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202102Новости, 202102 → В штатном антивирусе Windows 12 лет зияла брешь для захвата ПК