据国外媒体报道,大约十二年来,攻击者和防御者并未发现Windows Defender中的一个严重漏洞,直到去年秋天才修复该漏洞。值得一提的是,对于主流操作系统的生命周期而言,12年是很长的时间。 对于这样的关键漏洞,隐藏时间确实太长。
使用权:
阿里云“暖云”主题活动3000万补贴助中小企业度过寒冬
造成这种情况的部分原因可能是该问题的漏洞没有主动存在于计算机的内存中,而是存在于称为“动态链接库”的Windows系统中。 Windows Defender仅在需要时加载此驱动程序,然后从计算机磁盘中将其删除。
可以理解的是,在驱动程序删除恶意文件时,在修复过程中,此漏洞会将其替换为新的良性文件作为占位符。 但是,研究人员发现该系统并未专门验证新文件。 因此,攻击者可以插入战略系统链接来指导驱动程序覆盖错误的文件甚至运行恶意代码。
安全公司SentinelOne的研究人员于去年秋天发现并报告了此漏洞,该漏洞后来被正式修复。
Microsoft最初将该漏洞定为“高”风险,尽管值得注意的是,为了使攻击者能够利用此漏洞,他们需要物理或远程访问受害者的计算机。 在所有可能的情况下,这意味着可能需要部署其他漏洞。
Microsoft和SentinelOne都同意,没有证据表明该固定漏洞已被恶意利用。 SentinelOne将漏洞的详细信息保密,以防止黑客在发布补丁后利用此漏洞。
微软发言人说,安装2月9日补丁程序的任何人(无论是手动更新还是自动更新)都受到保护。