Windows Defender：安全漏洞 12 年来一直未被注意到

SentinelOne 的计算机安全研究人员在 Microsoft Defender（以前称为 Windows Defender）中发现了一个严重的安全漏洞。该漏洞已存在近 12 年，攻击者可以利用它远程执行恶意代码。奇怪的是，这些年来这个缺陷一直没有受到黑客和研究人员的关注。

请记住，2021 年 2 月 9 日这个星期二，微软周二发布了 Windows 10 的最新补丁。制造商借此机会纠正了一个关键的安全缺陷。想象一下，雷德蒙德公司处理了一个漏洞……12岁。

此缺陷存在于防病毒软件中微软卫士（原 Windows Defender），于 2020 年 11 月被 SentinelOne 计算机安全研究人员检测到。据他们称，该漏洞隐藏在 Windows Defender 驱动程序中，用于删除恶意文件可能在您的 PC 上创建的文件和基础设施。

Microsoft Defender 驱动程序中存在缺陷

当该驱动程序删除恶意文件时，它会用新文件替换该文件，以填补修补过程中的空白。然而，SentinelOne专家发现，Windows Defender 未检查此替换文件的来源。事实上，攻击者能够插入战略系统链接，以迫使驱动程序覆盖损坏的文件，或者相反执行恶意代码。

实际上，黑客还可以删除软件或关键数据。 “此错误允许权限升级。以低权限运行的软件可以提升到管理员权限并危害机器。”SentinelOne 首席安全研究员 Kasif Dekel 解释道。

另请阅读：Windows Defender – 微软的防病毒软件现在与卡巴斯基和赛门铁克一样有效

据微软称，尽管有几个条件可以利用该缺陷，但该缺陷具有很高的风险。事实上，攻击者只能利用它是否已经可以远程或物理访问目标设备。剩下的问题是：这个缺陷怎么可能在雷达下存在这么久？

对于研究人员来说，唯一的解释是该驱动程序并未像打印机驱动程序那样永久存储在 PC 的硬盘驱动器上。相反，飞行员处于动态链接库，一个软件库，其函数在执行过程中由程序加载到内存中。在这种情况下，Microsoft Defender 会在必要时加载驱动程序，然后再将其从磁盘中删除等。据微软称，2021 年 2 月 9 日星期二的补丁修复了该问题。

来源 ：有线