O Microsoft Defender Antivirus corrigiu uma vulnerabilidade que foi relatada há cerca de um mês, embora alguns especialistas tenham encontrado sinais dela há cerca de 8 anos. Essa vulnerabilidade permitia que códigos maliciosos arbitrários fossem executados sem acionar alertas de antivírus.
Fonte da imagem: Jan Alexander / pixabay.com
O princípio da vulnerabilidade é relativamente simples – permitiu que arquivos de malware fossem colocados em pastas inacessíveis pelo Microsoft Defender. Essas pastas geralmente são usadas para abrigar programas regulares que, por vários motivos, causam falsos positivos de antivírus, portanto, devem ser excluídos da verificação.
O problema com essa abordagem é que a entrada do Registro contendo a lista de tais exclusões estava disponível para o grupo Todos, o que significa que os usuários locais, independentemente de seus privilégios, poderiam visualizá-la. Sabendo com antecedência exatamente onde o Microsoft Defender não procuraria, tudo o que restava era colocar o malware nesses locais. Assim, apenas aqueles que tinham acesso físico ao computador poderiam explorar essa vulnerabilidade.
De acordo com o recurso BleepingComputer, citando o especialista em segurança cibernética SecGuru_OTX, essa vulnerabilidade já foi corrigida. O especialista do SentinelOne, Antonio Cocomazzi, sugeriu que o problema foi corrigido com uma atualização do Windows lançada na terça-feira. O analista Will Dormann, no entanto, afirmou que algumas configurações de permissão do sistema foram alteradas sem a instalação de atualizações do Windows – talvez isso tenha sido feito pelo Microsoft Defender.
A vulnerabilidade supostamente afetou os sistemas Windows 10 21H1 e Windows 10 21H2, mas não foi observada no Windows 11.