Ficou sabendo que os desenvolvedores da Microsoft consertaram uma vulnerabilidade perigosa em seu antivírus proprietário, que afetava todas as versões do Microsoft Defender, a partir de 2009. A vulnerabilidade rastreada com o identificador CVE-2021-24092 está relacionada ao escalonamento de privilégios no Microsoft Defender e subsequente obtenção de direitos de administrador no sistema de destino.
Imagem: Getty Images
A vulnerabilidade mencionada foi descoberta por especialistas da empresa americana de segurança da informação SentinelOne em novembro do ano passado. Atacantes com direitos de usuário podem usá-lo para realizar ataques de baixa complexidade que não envolvem nenhuma interação com a vítima. No entanto, para explorar o CVE-2021-24092, um hacker deve ter acesso remoto ou físico ao dispositivo de destino. O problema afetou não apenas o Microsoft Defender, mas outros produtos de segurança, incluindo Microsoft Endpoint Protection, Microsoft Security Essentials e Microsoft System Center Endpoint Protection.
Uma vulnerabilidade que não foi detectada por mais de uma década estava no driver BTR.sys, também conhecido como removedor de tempo de inicialização. Ele é usado pelo antivírus no processo de eliminação de ameaças identificadas para remover arquivos e entradas de registro criadas por software malicioso.
De acordo com os pesquisadores, o problema permaneceu oculto por muito tempo porque o driver vulnerável não é armazenado permanentemente no disco rígido. Em vez disso, faz parte da Dynamic Link Library no Windows, que é usada pelo antivírus apenas quando necessário. A Microsoft e o SentinelOne não encontraram nenhuma evidência de que a vulnerabilidade foi realmente explorada por invasores.
A correção para CVE-2021-24092 é parte do patch de segurança de fevereiro que foi lançado como parte do programa Patch Tuesday esta semana.