Um bug no antivírus do Windows 10 Defender não foi corrigido há 12 anos.
A Microsoft lançou o Patch de fevereiro na terça-feira ontem, corrigindo uma infinidade de vulnerabilidades no Windows 10. Entre elas estavam várias vulnerabilidades de dia zero, que permitiam tanto executar código remoto em nossos computadores quanto gerar telas azuis. Além disso, eles corrigiram outro que estava presente no sistema operacional há pelo menos 12 anos.
O anúncio foi feito pela empresa de segurança cibernética SentinelOne depois que a Microsoft fez o patch ontem, podendo compartilhar sua existência com mais tranquilidade e sabendo que existe uma solução disponível. No entanto, eles não forneceram muitos detalhes técnicos para dar mais tempo para que a atualização alcance mais usuários.
O Windows Defender foi afetado pelo bug e passou 12 anos sem patch
O bug estava presente no Windows Defender, um dos elementos mais sensíveis do sistema operacional. Especificamente, a falha afeta um driver usado pelo antivírus para remover arquivos invasivos e infraestrutura que o malware pode criar para se espalhar pelo computador, sendo esta uma característica básica de como um antivírus funciona. Quando o driver exclui o arquivo malicioso, ele o substitui por um benigno enquanto remove o malware. No entanto, os pesquisadores perceberam que o Windows Defender não verificou o novo arquivo criado, portanto, um invasor poderia modificar o driver de forma que o arquivo errado pudesse ser sobrescrito ou até mesmo executar código malicioso.
O Windows Defender é usado por centenas de milhões de pessoas, como o antivírus do Windows 10 em todo o mundo, uma vez que é o incluído no sistema por padrão. Portanto, uma falha nele ou no driver, que seja assinado pela própria Microsoft, é perigosa porque para o sistema operacional pode parecer algo legítimo e seguro, quando na verdade não é. O driver pode ser modificado para remover software ou dados, bem como executar seu código para assumir o controle total do sistema, pois permite escalar privilégios.
Até mesmo usuários do Windows Vista afetados
A falha foi relatada à Microsoft em meados de novembro e eles finalmente lançaram o patch esta semana. A vulnerabilidade foi considerada de alto risco e só poderia ser explorada por um invasor com acesso remoto ou físico ao computador. Portanto, para explorá-la, seria necessário combiná-la com outra vulnerabilidade.
De acordo com o SentinelOne e a Microsoft, não há evidências de que a vulnerabilidade tenha sido explorada por um invasor. No entanto, é difícil saber, pois 12 anos é muito tempo e implica que os usuários do Windows 7 agora estão expostos a isso. Além disso, os pesquisadores afirmam que a vulnerabilidade pode estar presente há ainda mais tempo, mas sua pesquisa foi limitada a 2009, que data desde o banco de dados de antivírus VirusTotal que eles usaram.
O SentinelOne acredita que a falha demorou muito para ser descoberta porque o driver afetado não fica armazenado no computador o tempo todo. Em vez disso, ele usa um sistema chamado “biblioteca de vínculo dinâmico”, carregando o driver apenas quando necessário e removendo-o posteriormente. Além disso, eles afirmam que esses tipos de falhas podem estar em outros softwares antivírus, por isso incentivam outras empresas a verificar se há vulnerabilidades em seus softwares.