2min

Microsoft heeft een kwetsbaarheid gedicht die al 12 jaar in antivirussoftware Microsoft Defender aanwezig was. Voor zover bekend hadden kwaadwillenden de bug nog niet ontdekt.

De kwetsbaarheid werd ontdekt door securitybedrijf SentinelOne. Het probleem zat in een driver die Microsoft Defender gebruikt om gedetecteerde gevaren te verwijderen. Wanneer deze driver een bestand verwijdert, vervangt hij het met een ander bestand als een tijdelijke placeholder. De onderzoekers van SentinelOne kwamen er echter achter dat Defender dit nieuwe bestand niet verifieert. Door een systeemlink aan te maken, kan een aanvaller Defender het verkeerde bestand laten overschrijven of zelfs malafide code laten draaien.

Defender vertrouwd door Windows-computers

Juist omdat Defender software van Microsoft zelf is en standaard op vrijwel alle Windows-computers geïnstalleerd is, zou een aanvaller veel schade met de kwetsbaarheid kunnen aanrichten. Bovendien heeft Defender veel rechten binnen Windows om zijn werk als antivirussoftware goed te kunnen uitvoeren. Kwaadwillenden kunnen met behulp van de kwetsbaarheid de rechten van een programma escaleren en er beheerrechten mee vergaren, schrijft ArsTechnica.

De kwetsbaarheid kan overigens niet gebruikt worden om een computer op afstand over te nemen. Om de kwetsbaarheid uit te buiten, moet de aanvaller al op een of andere manier toegang tot de computer hebben, zij het fysiek of op afstand. Het kan echter wel een belangrijk middel in de gereedschapskist van een aanvaller zijn om beheerdersrechten te krijgen bij een gehackte computer.

Patch Tuesday

Microsoft heeft de kwetsbaarheid aangeduid als ‘hoog risico’ en hem middels een update verholpen. Deze patch was onderdeel van Patch Tuesday van 9 februari. SentinelOne heeft de details van de kwetsbaarheid bewust niet gepubliceerd, zodat aanvallers geen misbruik kunnen maken van gebruikers die hun computers nog niet hebben geüpdatet.

Tijdens Patch Tuesday heeft Microsoft meerdere kwetsbaarheden gedicht. Alhoewel de kwetsbaarheid in Defender niet actief uitgebuit werd, was dit wel het geval bij CVE-2021-1732. Dit is een bug in Win32k die het verhogen van privileges mogelijk maakte. Deze zero-day werd volgens het Chinese beveiligingsbedrijf DBAPPSecurity gebruikt om doelwitten in Pakistan en China aan te vallen.