12 лет спустя
Microsoft устранила уязвимость в своем антивирусе Microsoft Defender, которую не могли обнаружить в течение 12 лет. В конце концов ее все-таки выявили эксперты компании SentinelOne.
Как выяснилось, она затаилась в драйвере, отвечающем за удаление локальных данных и прочей инфраструктуры, которую могут создавать вредоносные программы. Антивирус создает на месте удаленного файла другой, безвредный, в качестве промежуточной «заглушки». Однако, как установили исследователи, он не производит последующей проверки нового файла и его местоположения.
У злоумышленников возникает возможность подставлять стратегически важные ссылки, так что антивирус перезаписывает не следы жизнедеятельности вредоносов, а какой-либо системный файл или даже сам запускает вредоносный код.
Возможность такой манипуляции могла бы превратить Defender из защитного инструмента в великолепное подспорье хакерам, и по целому ряду причин. Во-первых, это штатный антивирус Windows, соответственно, его распространенность сопоставима с распространенностью самой операционной системы. Во-вторых, и сам антивирус, и, в частности, его уязвимый драйвер пользуются высшим уровнем доверия в контексте операционной системы. Это означает, что с помощью определенных манипуляций можно заставить антивирус беспрепятственно удалить ключевые файлы операционной системы, выведя ее из строя, а также запустить произвольный код и перехватить контроль над системой полностью.
В Microsoft Defender 12 лет таилась привлекательная для хакеров уязвимостьВ SentinelOne отмечают, что баг позволяет повышать системные привилегии до административных, что также может быть очень полезно для вредоносных программ.
Есть, правда, одно существенное ограничение, которое и позволило Microsoft присвоить баг статус опасного, но не критичного: для эксплуатации уязвимости нужен локальный доступ к системе. Не обязательно физический, но в любом случае, система уже должна быть скомпрометирована.
И этого достаточноНо и с этим ограничением возможности для эксплуатации остаются весьма солидными: злоумышленник может взять систему под полный контроль и проникнуть глубоко в локальную сеть без необходимости получать административный доступ к ней.
Патч вышел 9 февраля 2021 г. К настоящему моменту нет никаких свидетельств тоого, что уязвимость кто-то пытался эксплуатировать, однако в SentinelOne решили задержать публикацию сведений о проблеме до того момента, как патч разойдется по максимальному количеству систем в мире.
Причины многолетнего игнорированияОдной из причин, по которой уязвимость не замечали долгие годы, стала особенность самого драйвера. Он не присутствует в системе постоянно, вместо этого его загружают из библиотеки динамического подключения (DLL) по мере надобности и сразу после использования он снова удаляется с диска.
Действительно, как напоминает Wired, в июле 2020 г. стало известно об уязвимости в службе Windows DNS, которая могла быть использована для распространения вредоносов-червей. Как выяснилось, этот баг, получивший 10 баллов угрозы из 10 возможных, появился в коде службы еще 17 лет назад. И никто за это время его так и не нашел.
Еще более древней оказалась уязвимость в компонентах macOS, отвечающих за подключение модемов; она появилась в 1999 г. в MacOS 9, и была унаследована более поздними версиями операционной системы Apple. Впрочем, после 2016 г. ее эксплуатация стала малоосуществимой.
«Можно назвать большой удачей, что SentinelOne были первыми, кто обнаружил проблему, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Эксплуатируя этот баг, злоумышленники действительно могли бы причинить немало вреда. На самом деле, у них и сейчас еще остается окно возможностей для этого: исправления вышли в минувший вторник, но понятно, что пройдет какое-то время, прежде чем они будут установлены повсеместно. Пользователям рекомендуется не затягивать с установкой и сохранять бдительность».
«Уязвимости многолетней выдержки — не такая редкая вещь, — продолжает Кирюхин. — Любое ПО — это сложная система, которая использует большое количество сторонних компонентов, написанных в разное время людьми с очень разной квалификацией. Ошибки могут сидеть глубоко в коде, ничем особо себя не выдавая. Поэтому до их обнаружения иногда проходят годы».
Короткая ссылка РаспечататьДругие материалы рубрики
«Сбербанк онлайн» защитится «песочницей» за полтора миллиарда
«Яндекс» сдал своего сотрудника правоохранителям за взлом тысяч почтовых ящиков клиентов
Хакеры активно захватывают ПК пользователей через Adobe Acrobat Reader и Photoshop
Критическая проблема в бизнес-платформе SAP получила индекс угрозы 9,9 из 10 возможных
«Программный Продукт» вошел в состав учредителей ведущего разработчика SIEM-систем
В криптобиблиотеке для Linux и macOS нашлась предельно простая для использования брешь
Техника Лучшие видеорегистраторы с радар-детектором: хиты продажОбзор холодильника Samsung RB7300: простор и свежесть продуктовТехноблог5G против Wi-Fi 6 — чем они отличаются и зачем вам обеTWS-наушники с активным шумоподавлением: выбор ZOOMПоказать еще Книга месяца Почему вам надо прочитать книгу «Бизнес в условиях перемен»Александр Глазков
председатель совета директоров компании «Диасофт»
ИТ в искусстве Технологии должны бытьтолько там, где они уместны
Владимир Определенов
CDTO ГМИИ им. А.С. Пушкина
Событие месяца Роботы, блокчейн, ИИ — в Москве проходит выставка новейших технологий ИТ в искусстве Технологии должны бытьтолько там, где они уместны
Владимир Определенов
CDTO ГМИИ им. А.С. Пушкина
Книга месяца Почему вам надо прочитать книгу «Бизнес в условиях перемен»Александр Глазков
председатель совета директоров компании «Диасофт»
Технология месяца Как менять бизнес-процессы компании в режиме реального времениЧто дает бизнесу
Process Intelligence?