Onderzoekers van SentinelOne ontdekten een twaalf jaar oude fout in Windows Defender. Zowel beveiligers als aanvallers hebben de fout al die tijd over het hoofd gezien. Inmiddels heeft Microsoft een patch uitgebracht.
De kwetsbaarheid werd gevonden in een driver die Windows Defender gebruikt om malafide bestanden en door malware gecreëerde infrastructuren te verwijderen. Wanneer de driver een kwaadaardig bestand verwijdert, komt er een goedaardig bestand voor in de plaats.
Onderzoekers ontdekten dat het systeem het nieuwe bestand niet verifieert. Hierdoor kan een aanvaller strategische links toevoegen die ervoor zorgen dat de driver het verkeerde bestand overschrijft of zelfs kwaadaardige code draait.
De fout in Windows Defender is ontzettend bruikbaar voor hackers. Windows Defender is een standaard onderdeel van Windows en is daardoor aanwezig op miljoenen computers over de hele wereld. In de praktijk kan een aanvaller de kwetsbaarheid gebruiken om cruciale software of data te verwijderen. Hackers kunnen de driver zelfs gebruiken om hun eigen code te draaien en het apparaat over te nemen.
Patch voor de kwetsbaarheid is al beschikbaar
SentinelOne ontdekte de kwetsbaarheid afgelopen november. Vorige week dinsdag kwam de patch uit. Microsoft markeerde de kwetsbaarheid als ‘hoog risico’. Toch kunnen aanvallers niet zomaar gebruik maken van de fout.
Een hacker kan alleen misbruik maken van de kwetsbaarheid als hij al toegang heeft tot het systeem van het doelwit. Hierdoor is de fout niet zomaar uit te buiten. De kwetsbaarheid kan alleen gebruikt worden in combinatie met andere technieken om in te breken. Wel kan de fout een aantrekkelijk doelwit zijn voor aanvallers die al toegang hebben tot een systeem.
Volgens SentinelOne en Microsoft is er geen bewijs dat de fout eerder is ontdekt en misbruikt. Daarbij geeft SentinelOne geen informatie vrij over hoe een aanvaller precies misbruik kan maken van de fout. Hiermee geeft het onderzoeksbedrijf Microsoft-gebruikers tijd om de patch te installeren, voordat aanvallers de misbruik van de fout gaan maken.
Een woordvoerder van Microsoft geeft aan dat iedereen die de patch van 9 februari heeft geïnstalleerd of automatische updates heeft geactiveerd, nu beschermd is.