A vulnerability in Windows Defender went unnoticed for 12 years
لم يتم اكتشاف خطأ فادح في Windows Defender من قبل كل من المهاجمين والمدافعين لمدة 12 عامًا، قبل أن يتم تصحيحه أخيرًا في الخريف الماضي. قد تكون الثغرة الأمنية في برنامج مكافحة الفيروسات المضمّن في Microsoft قد سمحت للقراصنة بالكتابة فوق الملفات أو تنفيذ تعليمات برمجية ضارة- إذا تم العثور على الخطأ.
لنكن واضحين- 12 عامًا هي فترة طويلة عندما يتعلق الأمر بدورة حياة نظام التشغيل السائد، وقد مر وقت طويل على إخفاء مثل هذه الثغرة الخطيرة. قد يرجع جزء من سبب ذلك إلى أن الخطأ المعني غير موجود بشكل نشط على وحدة تخزين الكمبيوتر- وبدلاً من ذلك، فهو موجود في نظام Windows يسمى "مكتبة الارتباط الديناميكي dynamic-link library". يقوم Windows Defender بتحميل برنامج التشغيل هذا فقط عند الحاجة، قبل مسحه من قرص الكمبيوتر.
يشرح Wired، "عندما يزيل المشغل driver ملفًا ضارًا، فإنه يستبدله بملف جديد غير ضار كنوع من العنصر النائب أثناء الإصلاح. لكن الباحثين اكتشفوا أن النظام لا يتحقق على وجه التحديد من هذا الملف الجديد. ونتيجة لذلك، يمكن للمهاجم إدراج روابط نظام إستراتيجية توجه السائق إلى الكتابة فوق الملف الخطأ أو حتى تشغيل تعليمات برمجية ضارة".
اكتشف الباحثون في شركة الأمن SentinelOne العيب في الخريف الماضي وأبلغوا عنه، وتم تصحيحه لاحقًا.
لنكن واضحين- 12 عامًا هي فترة طويلة عندما يتعلق الأمر بدورة حياة نظام التشغيل السائد، وقد مر وقت طويل على إخفاء مثل هذه الثغرة الخطيرة. قد يرجع جزء من سبب ذلك إلى أن الخطأ المعني غير موجود بشكل نشط على وحدة تخزين الكمبيوتر- وبدلاً من ذلك، فهو موجود في نظام Windows يسمى "مكتبة الارتباط الديناميكي dynamic-link library". يقوم Windows Defender بتحميل برنامج التشغيل هذا فقط عند الحاجة، قبل مسحه من قرص الكمبيوتر.
يشرح Wired، "عندما يزيل المشغل driver ملفًا ضارًا، فإنه يستبدله بملف جديد غير ضار كنوع من العنصر النائب أثناء الإصلاح. لكن الباحثين اكتشفوا أن النظام لا يتحقق على وجه التحديد من هذا الملف الجديد. ونتيجة لذلك، يمكن للمهاجم إدراج روابط نظام إستراتيجية توجه السائق إلى الكتابة فوق الملف الخطأ أو حتى تشغيل تعليمات برمجية ضارة".
اكتشف الباحثون في شركة الأمن SentinelOne العيب في الخريف الماضي وأبلغوا عنه، وتم تصحيحه لاحقًا.
صنفت Microsoft في البداية الثغرة الأمنية على أنها "عالية high"، على الرغم من أنه من الجدير بالذكر أنه لكي يستغل المهاجم الخطأ، فإنه سيحتاج إلى الوصول- المادي أو عن بُعد- إلى جهاز الكمبيوتر الخاص بك. في جميع الاحتمالات، يعني هذا أنه ربما يلزم نشر برمجيات exploits إضافية.
تتفق كل من Microsoft و SentinelOne أيضًا على أنه لا يوجد دليل على أن الخطأ الذي تم تصحيحه الآن قد تم استغلاله بشكل ضار. وتحتفظ SentinelOne بتفاصيل الثغرة الأمنية تحت قبعتها من أجل منع المتسللين من الاستفادة من الخطأ أثناء طرح التصحيح.
قال متحدث باسم Microsoft إن أي شخص قام بتثبيت تصحيح 9 فبراير، إما يدويًا أو عبر التحديثات التلقائية، محمي.
تتفق كل من Microsoft و SentinelOne أيضًا على أنه لا يوجد دليل على أن الخطأ الذي تم تصحيحه الآن قد تم استغلاله بشكل ضار. وتحتفظ SentinelOne بتفاصيل الثغرة الأمنية تحت قبعتها من أجل منع المتسللين من الاستفادة من الخطأ أثناء طرح التصحيح.
قال متحدث باسم Microsoft إن أي شخص قام بتثبيت تصحيح 9 فبراير، إما يدويًا أو عبر التحديثات التلقائية، محمي.