微軟修補Microsoft Defender存在12年之久的重大風險漏洞

資安廠商SentinelOne發現微軟終端安全軟體Microsoft Defender一項重大的權限擴張漏洞，可使攻擊者得以刪除檔案或接管裝置。微軟已在上周的Patch Tuesday修補本項漏洞。

這項漏洞發生在（原名Windows Defender的）Microsoft Defender的驅動程式BTR.sys。它只在Defender偵測到惡意程式時矯正時載入，負責從核心模式下刪除惡意程式建立的檔案系統及登錄檔資源。這時它會建立一個記錄其刪除行動的檔案，以及一個控制代碼（handle）。

而根據SentinelOne公司的研究，漏洞出在它並未驗證這個檔案是否為一個指向其他檔案連結。因此若攻擊者丟入一個系統連結，就能使這驅動程式覆寫掉任何他指定的檔案，這就能達到刪除檔案、資料，或是執行程式碼的目的，即使不具管理員權限。

研究人員發現，這個漏洞從2009年，也就是這套軟體仍稱為Windows Defender的年代就已存在迄今，一直沒被發現。所幸他們沒觀察到該漏洞遭到濫用的跡象。

Wired報導這個漏洞若被濫用，後果將相當嚴重。因為它內建在Windows，會隨著作業系統預設安裝到每臺PC，而且為Windows信任，並獲得微軟簽章，若不及早修補，將可讓攻擊者執行想要的攻擊行動，包括刪除重要檔案或接管系統。

而關於這項漏洞，這家資安廠商於去年11月通報微軟，微軟已於2月9日的Patch Tuesday中予以修補。