微软修补Microsoft Defender存在12年之久的重大风险漏洞
https://www.ithome.com.tw/news/142749
安全厂商发现微软终端安全软件Microsoft Defender一项重大的权限扩张漏洞,可使攻击
者得以删除档案或接管装置。微软已在上周的Patch Tuesday修补本项漏洞。
这项漏洞发生在(原名Windows Defender的)Microsoft Defender的驱动程式BTR.sys。
它只在Defender侦测到恶意程式时矫正时加载,负责从核心模式下删除恶意程式建立的档
案系统及登录档资源。这时它会建立一个记录其删除行动的档案,以及一个控制代码(
handle)。
安全厂商SentinelOne发现,漏洞出在它并未验证这个档案是否为一个指向其他档案连结
。因此若攻击者丢入一个系统连结,就能使这驱动程式覆写掉任何他指定的档案,这就能
达到删除档案、资料,或是执行程式码的目的,即使不具管理员权限。
研究人员发现,这个漏洞从2009年,还是Windows Defender的年代就已存在迄今而没被发
现。所幸他们没有发现该漏洞有被开采的迹象。
Wired报导这个漏洞若被开采后果将相当严重。它内建在Windows出货到每台PC,而且为
Windows信任,也获得微软签章,可让攻击者执行想要的攻击行动,包括删除重要档案或
接管系统。
安全厂商于去年11月通报微软,微软已于2月9日的Patch Tuesday中予以修补。