Un bug nell’antivirus di Windows 10 Defender non è stato risolto per 12 anni.
Microsoft ha rilasciato ieri la patch di febbraio, correggendo una moltitudine di vulnerabilità in Windows 10. Tra queste c’erano diverse vulnerabilità zero-day, che consentivano sia di eseguire codice remoto sui nostri computer, sia di generare schermate blu. Inoltre, ne hanno patchato un altro che era presente nel sistema operativo da almeno 12 anni.
Lo ha annunciato la società di sicurezza informatica SentinelOne dopo che Microsoft l’ha patchato ieri, potendo condividere la sua esistenza con più tranquillità e sapendo che c’è una soluzione disponibile. Tuttavia, non hanno fornito molti dettagli tecnici per dare più tempo all’aggiornamento per raggiungere più utenti.
Windows Defender è stato colpito dal bug ed è durato 12 anni senza patch
Il bug era presente in Windows Defender, uno degli elementi più sensibili del sistema operativo. Nello specifico, il difetto interessa un driver utilizzato dall’antivirus per rimuovere file e infrastrutture invasive che il malware può creare per diffondersi nel computer, essendo questa una caratteristica fondamentale del funzionamento di un antivirus. Quando il driver elimina il file dannoso, lo sostituisce con uno benigno durante la rimozione del malware. Tuttavia, i ricercatori si sono resi conto che Windows Defender non controllava il nuovo file che era stato creato, quindi un utente malintenzionato poteva modificare il driver in modo tale che il file sbagliato potesse essere sovrascritto o addirittura eseguire codice dannoso.
Windows Defender è utilizzato da centinaia di milioni di persone come l’antivirus di Windows 10 in tutto il mondo poiché è quello incluso nel sistema per impostazione predefinita. Pertanto, un difetto in esso o nel driver, che è firmato dalla stessa Microsoft, è pericoloso perché per il sistema operativo può sembrare qualcosa di legittimo e sicuro, quando in realtà non lo è. Il driver può essere modificato per rimuovere software o dati, nonché eseguire il suo codice per assumere il pieno controllo del sistema, poiché consente l’escalation dei privilegi.
Anche gli utenti di Windows Vista interessati
Il difetto è stato segnalato a Microsoft a metà novembre e hanno finalmente rilasciato la patch questa settimana. La vulnerabilità era considerata ad alto rischio e poteva essere sfruttata solo da un utente malintenzionato con accesso remoto o fisico al computer. Pertanto, per sfruttarlo, sarebbe necessario combinarlo con un’altra vulnerabilità.
Secondo SentinelOne e Microsoft, non ci sono prove che la vulnerabilità sia stata sfruttata da un aggressore. Tuttavia, è difficile saperlo, poiché 12 anni sono un tempo lungo e implica che gli utenti di Windows 7 siano ora esposti ad esso. Inoltre, i ricercatori affermano che la vulnerabilità potrebbe essere stata presente anche più a lungo, ma la loro ricerca era limitata al 2009, che risale al database antivirus VirusTotal che hanno utilizzato.
SentinelOne ritiene che il difetto abbia impiegato così tanto tempo per essere scoperto perché il driver interessato non è sempre memorizzato sul computer. Utilizza invece un sistema chiamato “libreria di collegamento dinamico”, caricando il driver solo quando è necessario e rimuovendolo in seguito. Inoltre, affermano che questi tipi di difetti possono essere presenti in altri software antivirus, quindi incoraggiano altre società a controllare il loro software per tali vulnerabilità.