Microsoft Defender Antivirus corrige vulnerabilidade de 12 anos

Ficou sabendo que os desenvolvedores da Microsoft consertaram uma vulnerabilidade perigosa em seu antivírus proprietário, que afetava todas as versões do Microsoft Defender, a partir de 2009. A vulnerabilidade rastreada com o identificador CVE-2021-24092 está relacionada ao escalonamento de privilégios no Microsoft Defender e subsequente obtenção de direitos de administrador no sistema de destino.

Imagem: Getty Images

A vulnerabilidade mencionada foi descoberta por especialistas da empresa americana de segurança da informação SentinelOne em novembro do ano passado. Atacantes com direitos de usuário podem usá-lo para realizar ataques de baixa complexidade que não envolvem nenhuma interação com a vítima. No entanto, para explorar o CVE-2021-24092, um hacker deve ter acesso remoto ou físico ao dispositivo de destino. O problema afetou não apenas o Microsoft Defender, mas outros produtos de segurança, incluindo Microsoft Endpoint Protection, Microsoft Security Essentials e Microsoft System Center Endpoint Protection.

Uma vulnerabilidade que não foi detectada por mais de uma década estava no driver BTR.sys, também conhecido como removedor de tempo de inicialização. Ele é usado pelo antivírus no processo de eliminação de ameaças identificadas para remover arquivos e entradas de registro criadas por software malicioso.

De acordo com os pesquisadores, o problema permaneceu oculto por muito tempo porque o driver vulnerável não é armazenado permanentemente no disco rígido. Em vez disso, faz parte da Dynamic Link Library no Windows, que é usada pelo antivírus apenas quando necessário. A Microsoft e o SentinelOne não encontraram nenhuma evidência de que a vulnerabilidade foi realmente explorada por invasores.

A correção para CVE-2021-24092 é parte do patch de segurança de fevereiro que foi lançado como parte do programa Patch Tuesday esta semana.