Een bug in Windows 10 Defender antivirus is al 12 jaar niet verholpen.
Microsoft bracht gisteren dinsdag de februari-patch uit, waarmee een groot aantal kwetsbaarheden in Windows 10 werd verholpen. Onder hen waren verschillende zero-day-kwetsbaarheden, die het mogelijk maakten om zowel externe code op onze computers uit te voeren als blauwe schermen te genereren. Ze hebben ook een andere gepatcht die al minstens 12 jaar in het besturingssysteem aanwezig was.
Dat heeft het cyberbeveiligingsbedrijf SentinelOne aangekondigd nadat Microsoft het gisteren had gepatcht, omdat het zijn bestaan met meer gemoedsrust kon delen en wetende dat er een oplossing beschikbaar is. Ze hebben echter niet veel technische details gegeven om de update meer tijd te geven om meer gebruikers te bereiken.
Windows Defender is getroffen door de bug en het ging 12 jaar zonder patchen
De bug was aanwezig in Windows Defender, een van de meest gevoelige elementen van het besturingssysteem. In het bijzonder treft de fout een stuurprogramma dat door de antivirus wordt gebruikt om invasieve bestanden en infrastructuur te verwijderen die malware kan creëren om zich via de computer te verspreiden, dit is een basiskenmerk van hoe een antivirus werkt. Wanneer het stuurprogramma het schadelijke bestand verwijdert, wordt het vervangen door een goedaardig bestand terwijl de malware wordt verwijderd. De onderzoekers realiseerden zich echter dat Windows Defender dat nieuwe bestand dat was aangemaakt niet controleerde, dus een aanvaller kon het stuurprogramma zo aanpassen dat het verkeerde bestand kon worden overschreven of zelfs kwaadaardige code kon uitvoeren.
Windows Defender wordt gebruikt door honderden miljoenen mensen zoals Windows 10 antivirus over de hele wereld, omdat dit standaard in het systeem is opgenomen. Daarom is een fout erin of in de driver, die door Microsoft zelf is ondertekend, gevaarlijk omdat het voor het besturingssysteem er legitiem en veilig uitziet, terwijl dat in feite niet zo is. Het stuurprogramma kan worden aangepast om software of gegevens te verwijderen, maar ook om de code uit te voeren om de volledige controle over het systeem te krijgen, aangezien het escalerende rechten mogelijk maakt.
Zelfs Windows Vista-gebruikers zijn getroffen
De fout werd half november aan Microsoft gemeld en ze hebben de patch deze week eindelijk uitgebracht. De kwetsbaarheid werd als risicovol beschouwd en kon alleen worden misbruikt door een aanvaller met externe of fysieke toegang tot de computer. Om het te exploiteren, zou het daarom moeten worden gecombineerd met een andere kwetsbaarheid.
Volgens SentinelOne en Microsoft is er geen bewijs dat de kwetsbaarheid is uitgebuit door een aanvaller. Het is echter moeilijk te weten, aangezien 12 jaar lang is en impliceert dat Windows 7-gebruikers er nu aan worden blootgesteld. Bovendien beweren de onderzoekers dat de kwetsbaarheid mogelijk nog langer aanwezig is, maar hun onderzoek beperkte zich tot 2009, wat teruggaat tot de VirusTotal-antivirusdatabase die ze gebruikten.
SentinelOne is van mening dat het zo lang heeft geduurd voordat het probleem werd ontdekt, omdat het getroffen stuurprogramma niet altijd op de computer is opgeslagen. In plaats daarvan gebruikt het een systeem met de naam “Dynamic Link Library”, waarbij het stuurprogramma alleen wordt geladen wanneer dat nodig is en het daarna wordt verwijderd. Ze beweren ook dat dit soort fouten in andere antivirussoftware kunnen zitten, dus moedigen ze andere bedrijven aan om hun software op dergelijke kwetsbaarheden te controleren.