Стало відомо про те, що розробники з Microsoft виправили небезпечну вразливість у своєму фірмовому антивірусі, яка зачіпала всі версії Microsoft Defender, починаючи з 2009 року. Вразливості, яка відстежувалася з ідентифікатором CVE-2021-24092, пов'язана з підвищенням привілеїв в Microsoft Defender з подальшим отриманням прав адміністратора в атакуючій системі.
Згадана вразливість була виявлена фахівцями американської компанії SentinelOne, що працює в сфері інформаційної безпеки, в листопаді минулого року. Зловмисники з правами користувача могли використовувати її для проведення атак низької складності, які не припускають будь-якої взаємодії з жертвою. Однак для експлуатації CVE-2021-24092 хакеру необхідно мати віддалений або фізичний доступ до цільового пристрою. Згідно з наявними даними, проблема зачіпала не тільки Microsoft Defender, але й інші продукти безпеки, в тому числі Microsoft Endpoint Protection, Microsoft Security Essentials і Microsoft System Center Endpoint Protection
Вразливість, яку більше десяти років не вдавалося виявити, перебувала в драйвері BTR.sys, який також відомий як засіб видалення завантажувального часу. Він використовується антивірусом у процесі усунення виявлених загроз для видалення файлів і записів реєстру, створених шкідливим програмним забезпеченням.
На думку дослідників, проблема залишалася прихованою так довго, тому що вразливий драйвер не зберігається на жорсткому диску постійно. Замість цього він є частиною бібліотеки динамічної компоновки (Dynamic Link Library) в Windows, яка використовується антивірусом тільки в разі необхідності. Microsoft і SentinelOne не знайшли жодних підтверджень того, що згадана вразливість використовувалася зловмисниками на практиці.
Виправлення CVE-2021-24092 стало частиною лютневого патчу безпеки, який був випущений в рамках програми Patch Tuesday на цьому тижні.
