作者Clarkliu (noname)
看板AntiVirus
標題[情報] 微軟修補Microsoft Defender存在12年之久
時間Thu Feb 18 14:06:07 2021
微軟修補Microsoft Defender存在12年之久的重大風險漏洞
https://www.ithome.com.tw/news/142749
安全廠商發現微軟終端安全軟體Microsoft Defender一項重大的權限擴張漏洞,可使攻擊
者得以刪除檔案或接管裝置。微軟已在上週的Patch Tuesday修補本項漏洞。
這項漏洞發生在(原名Windows Defender的)Microsoft Defender的驅動程式BTR.sys。
它只在Defender偵測到惡意程式時矯正時載入,負責從核心模式下刪除惡意程式建立的檔
案系統及登錄檔資源。這時它會建立一個記錄其刪除行動的檔案,以及一個控制代碼(
handle)。
安全廠商SentinelOne發現,漏洞出在它並未驗證這個檔案是否為一個指向其他檔案連結
。因此若攻擊者丟入一個系統連結,就能使這驅動程式覆寫掉任何他指定的檔案,這就能
達到刪除檔案、資料,或是執行程式碼的目的,即使不具管理員權限。
研究人員發現,這個漏洞從2009年,還是Windows Defender的年代就已存在迄今而沒被發
現。所幸他們沒有發現該漏洞有被開採的跡象。
Wired報導這個漏洞若被開採後果將相當嚴重。它內建在Windows出貨到每臺PC,而且為
Windows信任,也獲得微軟簽章,可讓攻擊者執行想要的攻擊行動,包括刪除重要檔案或
接管系統。
安全廠商於去年11月通報微軟,微軟已於2月9日的Patch Tuesday中予以修補。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.41.141.94 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1613628370.A.27B.html
1F:推 labbat: 駭客想修改資料 對只能刪除資料的不太有興趣 02/19 10:02
2F:→ pepsilee: 1F沒看到"接管系統"這四個字? 03/14 18:12