Vulnerabilidade no Microsoft Defender é corrigida após 12 anos
Créditos: Reprodução/Neowin.net

Vulnerabilidade no Microsoft Defender é corrigida após 12 anos

Correção está disponível a partir da versão 1.1.17800.5 do Malware Protection Engine

Uma vulnerabilidade presente há 12 anos no antivírus da Microsoft, que teve seu nome alterado de Windows Defender para Microsoft Defender no ano passado, foi corrigida recentemente pela Microsoft. A vulnerabilidade identificada como CVE-2021-24092 estava presente em um driver específico do antivírus e foi descoberta em 2020 por pesquisadores de segurança da empresa SentinelOne. Embora a vulnerabilidade existisse há anos, ela não chegou a ser explorada ativamente em ataques.

22/08/2020 às 15:35
Notícia

Defender Antivírus não poderá mais ser desativado permanentem...

Microsoft removeu alteração em registro que permitia a alteração

A vulnerabilidade que possibilita a elevação de privilégios no sistema afetado estava presente no driver BTR.sys. Este driver faz parte do mecanismo do antivírus da Microsoft usado para lidar com arquivos e outros componentes maliciosos. Basicamente ele é responsável por apagar recursos criados por softwares maliciosos no sistema de arquivos e no Registro do Windows e só é carregado pelo sistema quando for necessário.

De acordo com os pesquisadores de segurança da empresa SentinelOne, quando o driver é carregado pelo antivírus para remover um arquivo malicioso, ele o substitui por outro não malicioso temporariamente durante este processo. O problema é que os pesquisadores descobriram que o sistema não verifica corretamente o novo arquivo, com isso os atacantes poderiam inserir links específicos que poderiam fazer o driver substituir o arquivo incorreto ou até mesmo executar um código malicioso.

Microsoft Defender já vem habilitado por padrão no Windows 10, que está presente em milhões de computadores em todo o mundo.

Kasif Dekel, pesquisador sênior de segurança da SentinelOne, disse que a vulnerabilidade pode permitir a elevação de privilégios no sistema afetado. Assim um software malicioso executado com privilégios mais baixos pode ter seus privilégios elevados e comprometer o computador do usuário com o antivírus vulnerável. Vale lembrar que o Microsoft Defender já vem habilitado por padrão no Windows 10, que está presente em milhões de computadores em todo o mundo.


Reprodução/Microsoft

A SentinelOne confirmou que notificou a Microsoft sobre a vulnerabilidade em 16 de novembro de 2020 e no dia 30 do mesmo mês a empresa reconheceu a existência da falha e confirmou que estava trabalhando em uma correção. A correção foi disponibilizada no último dia 9 de fevereiro. De acordo com a Microsoft, a vulnerabilidade afeta a versão 1.1.17700.4 e anteriores do Malware Protection Engine no antivírus Microsoft Defender. Já a correção está disponível a partir da versão 1.1.17800.5. Nenhuma ação do usuário é necessária para instalar a correção, já que o antivírus atualiza o Malware Protection Engine automaticamente.

Continua após a publicidade

Normalmente a Microsoft disponibiliza uma atualização para o Malware Protection Engine uma vez por mês ou conforme necessário para proteger contra novas ameaças. Já as definições antimalware do antivírus são atualizadas pelo menos três vezes por dia ou com maior frequência caso seja necessário.

Fonte: SentinelOne, Microsoft, PC Gamer, Wired
User img

Fabio Rosolen

Hands-on do Moto G60: câmera de 108MP, tela de 120Hz e bateria de 6.000 mAh são os destaques

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.