Microsoft đã sửa một lỗ hổng leo thang đặc quyền trong Microsoft Defender Antivirus (trước đây là Windows Defender) có thể cho phép những kẻ tấn công giành được quyền quản trị viên trên hệ thống Windows mà không cần bản vá.
Microsoft Defender Antivirus là giải pháp chống phần mềm độc hại mặc định trên hơn 1 tỷ hệ thống chạy Windows 10 theo thống kê của Microsoft.
Việc nâng cao lỗ hổng đặc quyền được ghi là CVE-2021-24092 ảnh hưởng đến các phiên bản của Bộ bảo vệ có từ năm 2009 và ảnh hưởng đến các phiên bản máy khách và máy chủ từ Windows 7 trở đi.
Các tác nhân đe dọa có đặc quyền người dùng cơ bản có thể khai thác cục bộ, như một phần của các cuộc tấn công có độ phức tạp thấp không yêu cầu sự tương tác của người dùng.
Lỗ hổng này cũng ảnh hưởng đến các sản phẩm bảo mật khác của Microsoft, bao gồm nhưng không giới hạn ở Microsoft Endpoint Protection, Microsoft Security Essentials và Microsoft System Center Endpoint Protection.
SentinelOne đã tìm thấy và báo cáo lỗ hổng vào tháng 11 năm 2020. Microsoft đã phát hành bản vá vào thứ Ba, cùng với các bản cập nhật bảo mật khác được phát hành như một phần của bản vá tháng 2 năm 2021 vào thứ Ba.
Không bị phát hiện trong hơn một thập kỷ
Lỗ hổng được phát hiện trong trình điều khiển BTR.sys (còn được gọi là Công cụ xóa thời gian khởi động) được sử dụng trong quá trình khắc phục để xóa tệp và mục đăng ký do phần mềm độc hại tạo trên hệ thống bị nhiễm.
"Trước khi sửa chữa, lỗ hổng bảo mật vẫn chưa được phát hiện trong 12 năm, có thể do bản chất của cách cơ chế cụ thể này được kích hoạt", theo báo cáo của SentinelOne được công bố hôm nay và được chia sẻ trước với BleepingComputer.
"Chúng tôi cho rằng lỗ hổng này vẫn chưa được phát hiện cho đến bây giờ vì trình điều khiển thường không xuất hiện trên ổ cứng, mà thay vào đó, nó được ngắt kết nối và kích hoạt khi cần thiết (với một tên ngẫu nhiên) và sau đó bị xóa."
Phiên bản mới nhất của Microsoft Malware Protection Engine bị ảnh hưởng bởi lỗ hổng này là phiên bản 1.1.17700.4. Phiên bản đầu tiên mà lỗi đã được sửa là 1.1.17800.5.
Các hệ thống được vá lỗ hổng bảo mật này phải chạy Microsoft Malware Protection Engine phiên bản 1.1.17800.5 trở lên.
Thông tin thêm về cách kiểm tra phiên bản của công cụ bảo vệ phần mềm độc hại trên hệ thống của bạn có sẵn tại đây.
How to Find the Microsoft Defender Version Installed in Windows 10
This tutorial will explain how to find the version number for Microsoft Defender in Windows 10.
Redmond nói rằng bản cập nhật bảo mật CVE-2021-1647 sẽ tự động cài đặt trên các hệ thống chạy phiên bản Microsoft Defender dễ bị tấn công nếu các bản cập nhật tự động được bật.
Microsoft Defender tự động cập nhật cả Công cụ Bảo vệ Phần mềm độc hại (thành phần được sử dụng để quét, phát hiện và dọn dẹp) và các định nghĩa phần mềm độc hại trên các thiết bị gia đình và doanh nghiệp.
Mặc dù Microsoft Defender có thể kiểm tra các bản cập nhật động cơ và định nghĩa nhiều lần mỗi ngày, nhưng khách hàng được khuyến khích kiểm tra các bản cập nhật theo cách thủ công nếu họ muốn cài đặt các bản cập nhật bảo mật ngay lập tức.
SentinelOne kết luận: “Tất nhiên, trong khi lỗ hổng bảo mật dường như chưa được khai thác, những kẻ xấu có thể sẽ tìm cách khai thác nó trên các hệ thống chưa được vá.
"Ngoài ra, vì lỗ hổng bảo mật có trong tất cả các phiên bản của Windows Defender tính đến năm 2009, nên có khả năng nhiều người dùng sẽ không áp dụng bản vá, khiến họ có thể bị tấn công trong tương lai."
Tháng trước, Microsoft đã sửa một lỗ hổng khác trong Microsoft Defender Antivirus, một phương thức khai thác zero-day cho phép những kẻ tấn công từ xa chạy mã độc trên các thiết bị Windows chưa được vá.
Văn bản được dịch từ tiếng Tây Ban Nha sang tiếng Việt với Google Dịch
Tôi cảm thấy sự bất tiện của những từ bị dịch sai
xem phần còn lại của bài viết
Sửa lần cuối:
), không cách nào mà phần mềm không có lỗi được. Và mình đã tin dùng MS suốt những năm qua, đợt này lòi lỗi và họ fix nhanh lẹ thì vẫn tin dùng tiếp 