微软修补Microsoft Defender存在12年之久的重大风险漏洞 https://www.ithome.com.tw/news/142749 安全厂商发现微软终端安全软体Microsoft Defender一项重大的权限扩张漏洞，可使攻击 者得以删除档案或接管装置。微软已在上周的Patch Tuesday修补本项漏洞。 这项漏洞发生在（原名Windows Defender的）Microsoft Defender的驱动程式BTR.sys。 它只在Defender侦测到恶意程式时矫正时载入，负责从核心模式下删除恶意程式建立的档 案系统及登录档资源。这时它会建立一个记录其删除行动的档案，以及一个控制代码（ handle）。 安全厂商SentinelOne发现，漏洞出在它并未验证这个档案是否为一个指向其他档案连结 。因此若攻击者丢入一个系统连结，就能使这驱动程式覆写掉任何他指定的档案，这就能 达到删除档案、资料，或是执行程式码的目的，即使不具管理员权限。 研究人员发现，这个漏洞从2009年，还是Windows Defender的年代就已存在迄今而没被发 现。所幸他们没有发现该漏洞有被开采的迹象。 Wired报导这个漏洞若被开采後果将相当严重。它内建在Windows出货到每台PC，而且为 Windows信任，也获得微软签章，可让攻击者执行想要的攻击行动，包括删除重要档案或 接管系统。 安全厂商於去年11月通报微软，微软已於2月9日的Patch Tuesday中予以修补。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.41.141.94 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1613628370.A.27B.html