Windows Defender-fejl giver hackere frit spil

defender Windows antivirus
Microsoft har løst en sårbarhed for eskalering af rettigheder i Microsoft Defender Antivirus (tidligere Windows Defender), der kunne give angribere mulighed for at få administratorrettigheder på ikke-patchede Windows-systemer.

Microsoft Defender Antivirus er standard anti-malware-løsning på over 1 milliard systemer, der kører Windows 10 i henhold til Microsofts egen statistik.

Forhøjelsen af privilegier, noteret som CVE-2021-24092, påvirker Defender-versioner, der går så langt tilbage som 2009, og det påvirker klient- og serverudgivelser startende fra Windows 7 og frem.

Trusselsaktører med grundlæggende brugerrettigheder kan udnytte denne sårbarhed lokalt som en del af angreb med såkaldt lav kompleksitet, der ikke kræver nogen form for brugerinteraktion.

Sårbarheden påvirker også andre Microsoft-sikkerhedsprodukter, herunder, men ikke begrænset til, Microsoft Endpoint Protection, Microsoft Security Essentials og Microsoft System Center Endpoint Protection.

SentinelOne fandt og indrapporterede sårbarheden tilbage til november 2020. Microsoft frigav efterfølgende rettelse via Patch Tuesday sammen med de andre sikkerhedsopdateringer, der blev offentliggjort som en del af Patch Tuesday i februar 2021.


Velkendt sikkerhedsfejl

Sårbarheden blev oprindeligt spottet i BTR.sys-driveren (også kendt som Boot Time Removal Tool), der blev brugt under afhjælpningsprocessen til at slette filer og opslag i registreringsdatabasen oprettet af malware på inficerede systemer.

Dette fremkommer af denne artikel

Den sidste version af Microsoft Malware Protection Engine, der er berørt af sårbarheden, er version 1.1.17700.4. Den første version, hvor fejlen blev adresseret, er noteret som 1.1.17800.5.

Systemer, der er patchet mod denne sårbarhed, skal have Microsoft Malware Protection Engine version 1.1.17800.5 eller nyere installeret, for at dæmme op for sikkerhedstruslen.

Sådan kontrollerer du hvilken version af Microsoft Defender du har installeret:

Open the Microsoft Defender app, select Help, and then select About. The version number is listed under Antimalware Client Version

Kilde: Microsoft

Microsoft siger, at CVE-2021-1647 sikkerhedsopdateringen installeres automatisk på systemer, der kører påvirkede Microsoft Defender-versioner, hvis automatiske opdateringer er aktiveret på din computer.

Microsoft Defender opdaterer automatisk både Malware Protection Engine (komponenten, der bruges til scanning, detektion og fjernelse af potentielle problemer) og malware-definitioner på virksomheds- og private systemer.

Læs hele rapporten fra SentinelOne


Source & Image credit:

Microsoft, SentinelOne