ما یک آسیب پذیری شدید در Windows Defender را فاش می کنیم که به مهاجمان اجازه می دهد سطح دسترسی را از یک کاربر غیر ادمین افزایش دهند. Windows Defender به طور عمیقی در سیستم عامل ویندوز ادغام شده است و به طور پیش فرض بر روی هر دستگاه ویندوز (بیش از 1 میلیارد دستگاه) نصب می شود.
سرویس های ممتاز (دارای دسترسی) در ویندوز یا اجزای ویندوز ممکن است حاوی باگی باشند که افزایش سطح دسترسی را به راحتی ممکن می کند. مهاجمان اغلب از چنین آسیب پذیری هایی برای انجام حملات پیچیده استفاده می کنند. محصولات امنیتی امنیت دستگاه را تضمین می کنند و قرار است از بروز چنین حملاتی جلوگیری کنند ، اما اگر محصول امنیتی خود آسیب پذیری ایجاد کند ، چه می کنید؟ چه کسی از محافظان محافظت می کند؟
مایکروسافت این آسیب پذیری را در Windows Defender پچ کرد و در 9 فوریه رفع باگ را انجام داد. پیش از رفع این آسیب پذیری ، احتمالاً به دلیل ماهیت نحوه فعال سازی این مکانیسم خاص ، به مدت 12 سال کشف نشده بود.
درایور BTR.sys (نام داخلی درایور) بخشی از فرایند اصلاحی در Windows Defender است. این مسئول حذف فایل سیستم و منابع رجیستری ایجاد شده توسط نرم افزار مخرب از حالت کرنل است.
در هنگام بارگذاری ، درایور ابتدا یک handle در فایل ایجاد می کند که حاوی گزارش فعالیتهای آن هنگام فعال شدن است. همانطور که در زیر می بینید ، این مشکل در نحوه ایجاد همان handler از این درایور است.
رجیستری r14d قبلاً با خودش xor شده بود ،یعنی شامل صفر است ، بنابراین پارامتر CreateDisposition اینگونه ثبت می شود: FILE_SUPERSEDE.
بدین شکل FILE_SUPERSEDE به عنوان فرایندی در نظر گرفته می شود که ابتدا پرونده اصلی را حذف کرده و سپس فایل جدیدی ایجاد می کند. با هیچ اطمینانی نمی توانید متوجه شوید که این لینک پیوند دهنده است یا خیر . بنابراین ، ایجاد پیوند در C: \ Windows \ Temp \ BootClean.log به مهاجمان اجازه می دهد تا پرونده های دلخواه را overwrite کنند. این لینک قرار است به فایلی که می خواهیم مجدداً بنویسیم اشاره کند. مثلا:
با کمال تعجب ، نسخه هایی از این درایور را پیدا شده که حاوی باگ است و توسط مایکروسافت تا سال 2009 تایید شده است. به عنوان مثال:
SHA 256 0463f8b5bd31cd1bcfe27fe00ee3cb09ef76a9a78ce0c064b6f69f7febc630f9 SHA 1 88e1668ea5a9e6e476c52a9dc629934b281e38ac
SHA 256 55d998973c182c395b5407a42b63dbb528c65d829a7af6cd08797b0ede631eef SHA 1 019bd0060d4b4ad8c417d9e28e1fda361e85fb55
SHA 256 174122a837338648a1d88263e118781d912ae566d7f7711f08792a54028d5021 SHA 1 d45705e4566dbe9eaa7155a7296e637bedec7c70
SHA 256 c447a47c5246453c5655e6d1716f0954662fc185f28645681509d1366915cd4b SHA 1 f0be713fcb0c766f62746273aedafbca909387b3
SHA 256 8df74468e26f7756b2ff5e75e1d83345226882a8ae2da08e251963c819ca3c5c SHA 1 9a3d727c131308f59bc4e804fe1b79d907684b61
ماشین هایی که نسخه به روز شده Windows Defender را اجرا می کنند در برابر CVE-2021-24092 محافظت می شوند. نسخه های اخیر ویندوز 10 ، هنگامی که به روز می شوند ، در برابر اکسپلویت های EoP با استفاده از hardlink های native محافظت می شوند.
CVE-2021-24092
البته ، گرچه به نظر می رسد از این آسیب پذیری استفاده نشده است ، اما مهاجمان احتمالاً می فهمند که چگونه می توانند از این در سیستم های بدون پچ استفاده کنند. علاوه بر این ، از آنجا که این آسیب پذیری از حدود سال 2009 در همه نسخه های Windows Defender وجود دارد ، به احتمال زیاد کاربران زیادی در اعمال پچ موفق نخواهند شد و آنها را در معرض حملات آینده قرار می دهد.
استفاده از چنین آسیب پذیری برای اجرای کد اغلب مشکل تر است اما غیرممکن نیست. اما این مورد همچنان می تواند برای فعالیتهای مخرب مختلف مانند از کار انداختن محصولات امنیتی مورد استفاده قرار گیرد.
برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!
Telegram.me/Alert_Security
