A Microsoft corrigiu uma vulnerabilidade do Windows Defender que estava presente no antivírus da Microsoft há 12 anos e acabou passando despercebida pela empresa e também por hackers durante todo este tempo.
A falha, que foi chamada de CVE-2021-24092, foi descoberta em novembro de 2020 por uma equipe de pesquisadores da empresa de segurança digital SentinelOne.
A vulnerabilidade foi observada em um driver que o aplicativo, que foi rebatizado para Microsoft Defender, utiliza para excluir arquivos invasivos e a infraestrutura que um malware pode criar no computador.
Quando este driver exclui o arquivo malicioso, teoricamente, deveria substituí-lo por um novo e benigno para uma reserva de espaço em disco para a correção. Entretanto, os pesquisadores descobriram que o sistema não faz essa verificação corretamente, o que permite ao invasor a inserção de links de sistema que podem fazer o driver repor o arquivo errado ou até executar o código malicioso.
Porta para invasores
Tal vulnerabilidade poderia ser muito útil para potenciais invasores, uma vez que é um aplicativo que é instalado por padrão em máquinas com Windows, que é o sistema operacional mais utilizado em computadores pessoais e servidores. E, por se tratar de um antivírus, é um aplicativo altamente confiável dentro do sistema operacional.
E, para completar, o driver vulnerável é assinado criptograficamente pela Microsoft para provar sua legitimidade. Ou seja, quem conseguisse explorar esta falha conseguiria excluir softwares ou dados cruciais, ou até mesmo direcionar o driver para executar seu próprio código para assumir o dispositivo.
“Esse bug permite o aumento de privilégios”, disse Kasif Dekel, pesquisador de segurança sênior da SentinelOne. “O software executado com poucos privilégios pode se elevar a privilégios administrativos e comprometer a máquina”, completa.
Vulnerabilidade era de alto risco
A vulnerabilidade foi classificada pela Microsoft como sendo de alto risco, mas com algumas ressalvas importantes, sendo a principal delas o fato de que só um invasor que já tenha acesso, seja físico ou remoto, ao dispositivo de destino.
Sendo assim, precisaria ser implantado junto com outras explorações na maioria dos cenários de ataque, mas isso não tornaria a entrada menos atraente para hackers.
Tanto a SentinelOne quanto a Microsoft afirmam que não existem evidências de que a vulnerabilidade tenha sido descoberta, com a empresa de segurança escondendo potenciais cenários que possam ser explorados por potenciais invasores.
Via: The Wired
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: