Hackeři zneužívají novou chybu v antiviru Microsoft Defender
Bezpečnostní experti varují před novou zranitelností Red Sun v antiviru Microsoft Defender. Chyba umožňuje přepsání systémových souborů a je již zneužívána.
Výchozí antivirový program operačního systému Windows, Microsoft Defender, v současnosti čelí vážné bezpečnostní hrozbě. Nezávislý výzkumník vystupující pod přezdívkou Chaotic Eclipse nedávno upozornil na nově objevenou zranitelnost nesoucí označení Red Sun. Zároveň publikoval funkční ukázku kódu pro demonstraci zneužití (Proof of Concept) a varoval veřejnost, že útočníci tuto slabinu již reálně testují a využívají v praxi.
Problém pramení z poměrně specifického chování Defenderu při manipulaci s potenciálně škodlivými soubory, které nesou označení původu z cloudu. Výzkumník zjistil, že za určitých okolností může tento vestavěný antivirus dané soubory svévolně obnovit nebo zkopírovat zpět na jejich původní umístění v souborovém systému. Hackeři mohou tohoto mechanismu zneužít k řízenému přepisu kritických systémových souborů. Tím získají možnost neoprávněně zvýšit svá oprávnění a převzít nad napadeným systémem téměř plnou kontrolu.
Přístup Microsoftu k nahlášené chybě vyvolává v kruzích kybernetické bezpečnosti rozpaky. Podle autora objevu společnost odmítla chybu formálně uznat jako závažnou hrozbu, což je scénář, který se opakoval již začátkem dubna v případě podobné zero-day zranitelnosti s názvem BlueHammer. Kvůli laxnímu postoji bezpečnostního týmu Microsoftu (MSRC) došlo k výraznému ochlazení vztahů s nezávislými analytiky, kteří firmu obviňují z přehlíživého chování.
Ačkoliv vývojáři situaci doposud bagatelizovali, odborná veřejnost považuje chybu za potvrzené riziko a aktivně mapuje další možné vektory útoku. Analytici předpokládají, že rostoucí tlak komunity přiměje softwarového giganta k brzkému vydání adekvátní bezpečnostní záplaty. Do té doby někteří experti dokonce doporučují uživatelům zvážit instalaci antivirových řešení od vývojářů třetích stran.
