Згадана вразливість була виявлена фахівцями американської компанії SentinelOne, яка працює в сфері інформаційної безпеки, в листопаді минулого року. Проблема торкалась не лише Microsoft Defender, але й інших продуктів безпеки, в тому числі Microsoft Endpoint Protection, Microsoft Security Essentials і Microsoft System Center Endpoint Protection.
Цікаво Apple патентує розумні рукавички для точної роботи в доповненій реальності
У чому полягала вразливість
Зловмисники з правами користувача могли використовувати її для проведення атак низької складності, які не передбачають будь-якої взаємодії з жертвою. Однак для експлуатації хакеру необхідно мати віддалений або фізичний доступ до цільового пристрою.
Уразливість, яку більше десяти років не вдавалося виявити, перебувала в драйвері BTR.sys, який використовується антивірусом у процесі усунення виявлених загроз для видалення файлів і записів реєстру, створених шкідливим програмним забезпеченням.
На думку дослідників, проблема залишалася прихованою так довго, тому що вразливий драйвер не зберігається на жорсткому диску постійно. Він є частиною бібліотеки динамічного компонування (Dynamic Link Library) у Windows, яка використовується антивірусом тільки в разі потреби.
Microsoft і SentinelOne не знайшли жодних підтверджень того, що згадана вразливість використовувалася зловмисниками на практиці. Виправлення стало частиною лютневого патча безпеки, який був випущений в рамках програми Patch Tuesday.