Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
0day w Windows Defenderze. Atakujący może wykonać kod na naszym systemie.
Bug właśnie został załatany, a sam Microsoft nie chce się zbytnio chwalić szczegółami CVE-2021-1647.
Wiemy że, podatność odkryto jako 0day, umożliwia wykonanie kodu na komputerze ofiary (zapewne jako SYSTEM). Nie wymaga też interakcji od ofiary.
Najprawdopodobniej wymagane jest dostarczenie po prostu odpowiednio zainfekowanego pliku, który po przeskanowaniu przez Defendera, wykona kod na docelowym OS.
Zdnet z kolei wspomina o konieczności otworzenia załącznika (w tym momencie wchodzi do akcji Defender i jest automatycznie exploitowany). Łatka pojawiła się właśnie w ramach automatycznych aktualizacji Windows.
–ms
„I don’t understand why they’re calling it local, seems like Exchange would be vulnerable, or even just via Outlook/Browser. I’ve crashed MSRC’s exchange server by sending them Defender POC’s before ”
Tavis Ormandy
ROTFL – https://www.microsoft.com/security/blog/2018/10/26/windows-defender-antivirus-can-now-run-in-a-sandbox/