Oeroude Microsoft Defender-bug krijgt na 12 jaar eindelijk een patch

8 reacties

Sommige softwareproblemen blijven bestaan omdat de maker(s) van de software en zelfs uitbuiters niet op de hoogte zijn van het probleem. Ook bij softwaregrootmachten zoals Microsoft blijkt de kans op een dergelijke situatie nog te bestaan. Afgelopen herfst werd een twaalf jaar oude bug ontdekt die nu eindelijk is gepatcht.

De bug zat in Microsoft Defender in Windows 10 en is halverwege november gevonden door het Amerikaanse beveiligingsbedrijf SentinelOne. Om Microsoft genoeg tijd te geven om het probleem te fixen is het nieuws nu pas onthuld. Het probleem draagt het kenmerk CVE-2021-24092 en heeft wat ernst betreft een basisscore van 7,8.

Om precies te zijn is het een privilege escalation-kwetsbaarheid die in een driver van de Defender-antivirussoftware te vinden was. Volgens SentinelOne werd de driver gebruikt om na de ontdekking de bestanden en infrastructuur van de malware te verwijderen. Na het verwijderen van een bestand werd een nieuw, onschuldig bestand teruggeplaatst als een soort placeholder tijdens het verwijderproces. Dit bestand wordt echter niet voorzien van een kenmerk. De aanvaller kon hierdoor Defender 'sturen' om het verkeerde bestand te overschrijven en zelfs schadelijke software draaien.

Doordat Defender op een groot aantal systemen staat is de theoretisch mogelijke omvang van de aanval gigantisch. Echter is er één meevaller voor eigenaren van vatbare systemen; de aanvaller heeft al toegang nodig tot het apparaat (fysiek of op afstand) om de aanval uit te kunnen voeren. Dat betekent dat er eerst nog een andere aanval uitgevoerd moet worden om de tweede aanval mogelijk te maken. Het was echter slechts een kwestie van tijd voordat een kwaadwillende de bug zou hebben gevonden, waardoor toegang tot een systeem verder uitgebuit had kunnen worden. Gebruikers die de Patch Tuesday-update van 9 februari hebben geïnstalleerd zijn al beschermd, het is niet duidelijk of het probleem daadwerkelijk zonder detectie is uitgebuit.

Bronnen: SentinelOne, CVE, Microsoft

« Vorig bericht Volgend bericht »
0
*