Microsoft dicht een groot gat

support

Microsoft heeft een kwetsbaarheid gedicht die al 12 jaar in antivirussoftware Microsoft Defender aanwezig was. Voor zover bekend hadden kwaadwillenden de bug nog niet ontdekt.

De kwetsbaarheid werd ontdekt door securitybedrijf SentinelOne. Het probleem zat in een driver die Microsoft Defender gebruikt om gedetecteerde gevaren te verwijderen. Wanneer deze driver een bestand verwijdert, vervangt hij het met een ander bestand als een tijdelijke placeholder. De onderzoekers van SentinelOne kwamen er echter achter dat Defender dit nieuwe bestand niet verifieert. Door een systeemlink aan te maken, kan een aanvaller Defender het verkeerde bestand laten overschrijven of zelfs malafide code laten draaien.

Defender vertrouwd door Windows-computers

Juist omdat Defender software van Microsoft zelf is en standaard op vrijwel alle Windows-computers geïnstalleerd is, zou een aanvaller veel schade met de kwetsbaarheid kunnen aanrichten. Bovendien heeft Defender veel rechten binnen Windows om zijn werk als antivirussoftware goed te kunnen uitvoeren. Kwaadwillende kunnen met behulp van de kwetsbaarheid de rechten van een programma escaleren en er beheerrechten mee vergaren.

De kwetsbaarheid kan overigens niet gebruikt worden om een computer op afstand over te nemen. Om de kwetsbaarheid uit te buiten, moet de aanvaller al op een of andere manier toegang tot de computer hebben, zij het fysiek of op afstand. Het kan echter wel een belangrijk middel in de gereedschapskist van een aanvaller zijn om beheerdersrechten te krijgen bij een gehackte computer.

Patch Tuesday

Microsoft heeft de kwetsbaarheid aangeduid als ‘hoog risico’ en hem middels een update verholpen. Deze patch was onderdeel van Patch Tuesday van 9 februari. Microsoft heeft de details van de kwetsbaarheid bewust niet gepubliceerd, zodat aanvallers geen misbruik kunnen maken van gebruikers die hun computers nog niet hebben geüpdatet.