Windows Defender’da 12 yıllık hata düzeltildi. Microsoft Defender Antivirus’ün (eski adıyla Windows Defender) bir parçası olan bir ayrıcalık güvenlik açığı düzeltildi. İlginç bir şekilde, bu hata kodda yaklaşık 12 yıl önce ortaya çıktı ve 2009’dan sonra yayınlanan tüm Defender’ler için Windows 7 ve sonraki sürümlerini etkiledi.
SentinelOne uzmanları tarafından geçen yılın Kasım ayında keşfedilen güvenlik açığı CVE-2021-24092 olarak tanımlandı. Microsoft Uç Nokta Koruması, Microsoft Güvenlik Temelleri ve Microsoft Sistem Merkezi Uç Nokta Koruması dahil olmak üzere hata diğer Microsoft güvenlik ürünlerine de uzanıyor.
Sorun, kötü amaçlı yazılım tarafından oluşturulan dosyaları ve kayıt defteri girdilerini kaldırmak için kullanılan BTR.sys sürücüsünde (diğer adıyla Önyükleme Zamanı Kaldırma Aracı) bulundu. Araştırmacılar, “bu özel mekanizmanın etkinleştirilmesinin doğası” nedeniyle güvenlik açığının çok uzun süredir fark edilmediğine inanıyor.
Şirket, “Bu güvenlik açığının şimdiye kadar keşfedilmediğine inanıyoruz, çünkü bu sürücü sabit sürücüde mevcut değildir. Ancak gerekirse sıfırlanır ve etkinleştirilir, (rastgele bir adla) Ardındanda kaldırılır.” dedi.
Windows Defender’da 12 yıllık hata düzeltildi. Temelde, BTR.sys kötü amaçlı bir dosyayı sildiğinde, onu geçici olarak yeni ve güvenli bir dosya ile değiştirir. Araştırmacılar, sistemin bu yeni dosyayı hiçbir şekilde kontrol etmediğini ve bunun sonucunda bir saldırganın yanlış dosyanın üzerine yazabileceğini söyledi. Hatta ayrıcalıklarını yönetici düzeyine yükselterek kötü amaçlı kod çalıştırabileceğini keşfettiler.
Güncelleme, Microsoft Defender’ın etkilenen sürümlerini çalıştıran tüm sistemlere otomatik olarak yüklenecek ve otomatik güncelleştirmeler etkinleştirilecektir. Hata, Şubat “Salı günkü güncellemesinin” ile birlikte düzeltildi.
“Bu güvenlik açığından yararlanılmamış gibi görünse de, saldırganlar muhtemelen korumasız sistemlerde bundan nasıl yararlanacaklarını bulacaklar. Buna ek olarak, güvenlik açığı Windows Defender’ın tüm sürümlerinde yaklaşık 2009’dan beri mevcut olduğundan, pek çok kullanıcının yayımlanan yamayı uygulayamayacak. Bu da onları gelecekteki saldırılara karşı savunmasız hale getirecek.” diye özetliyor SentinelOne uzmanları.
[ilgiliMakale icerik_id=”7979″]
