Почтенный возраст уязвимости в программном обеспечении не делает её менее опасной. Критический баг в антивирусе Защитник Windows на протяжении многих лет оставался неизвестным как хакерам, так и разработчикам из Microsoft. Теперь компания закрыла эту уязвимость и остаётся надеяться, что злоумышленники не постараются наверстать упущенное время и воспользоваться ей.

Уязвимость была найдена специалистами из компании SentinelOne. Она располагается в драйвере, которую Защитник Microsoft использует для удаления создаваемых вирусами файлов и другой инфраструктуры. Когда драйвер удаляет вредоносный файл, он заменяет его на новый в качестве метки. Исследователи обнаружили, что система не проверяет созданный файл. В результате злоумышленники могут вставить системные ссылки, которые заставляют драйвер переписать вредоносный файл или даже запустить вредоносный код.

Таким образом, риску подвергались сотни миллионов компьютеров, где антивирус Microsoft установлен по умолчанию. Антивирус является доверенным приложением, а уязвимый драйвер криптографически подписан Microsoft для подтверждения его подлинности. Потенциально хакер способен через эту уязвимость удалить критически важные данные или программное обеспечение, а также запустить собственный код. С его помощью можно повысить привилегии запущенных программ с низких до административных.

Информация об уязвимости была передана Microsoft в середине ноября, а на уходящей неделе компания выпустила патч. Уязвимости присвоена высокая степень риска. Правда, задействовать её можно только в том случае, когда у атакующего уже есть доступ к системе, удалённый или физический. Если такой доступ есть, уязвимость позволяет глубже проникнуть в устройство или сеть без необходимости получать доступ к правам администратора.

Пока нет свидетельств того, что уязвимость когда-либо применялась в реальности. В данный момент исследователи не рассказывают, как именно можно воспользоваться уязвимостью, чтобы дать время установить патч на все компьютеры. Однако, поскольку информация теперь известна, попытки использовать уязвимость станут лишь вопросом времени.

Быть может, данная уязвимость в системах в Windows существует даже больше 12 лет. Это зависит от того, как долго инструмент безопасности VirusTotal сохраняет информацию об антивирусных продуктах. В 2009 году на смену Windows Vista там пришла Windows 7.

Баг мог оставаться незамеченным так долго по той причине, что уязвимый драйвер не хранится на жёстком диске постоянно. Он располагается в системе Windows в динамически загружаемой библиотеке и Защитник Windows запрашивает его только при необходимости. После выполнения работы драйвер стирается. Это означает, что подобные уязвимости могут существовать и в других продуктах.