A Windows Defender kritikus hibája állítólag már több támadásnak is teret adott
„Nincs kedd sorozat nélkül” – hangzott a 90-es évek tévés szlogenje a Vészhelyzet aktuális epizódja előtt. Előző kedden azonban a Microsoft aktuális havi javítókészlete érkezett meg, mely a Windows 10, nem kevesebb mint 83 biztonsági rését hivatott betömködni. A rendszer testén mostanáig kezeletlenül tátongó sebek között egyet különösen kínos helyen fedeztek fel, ugyanis a felhasználók védelmére létrehozott Windows Defender alkalmazásban rejtőzködött.
Hasonló eset bizony nem először fordul elő, ami azért is kifejezetten kínos, mert a Microsoft saját kezűleg fejlesztett alkotása rendszeresen a top 3-ban végez a Windowshoz készült vírusvédő és tűzfalas szolgáltatások között. Legutóbb talán tavaly márciusban történt, hogy egy gyári frissítés vakfoltokat okozott a Defender keresési mechanizmusában, ezáltal a valóban kártékony fájlok is megúszhatták a vizsgálatokat. Mint kiderült, az aktuális CVE-2021-1647 kódnév alatt jelzett sérülékenység sajnos nem a Microsoft alkalmazottainak tűnt fel elsőként. A kritikus biztonsági rés egy távoli hozzáférést és kéretlen kódok futtatását lehetővé tévő hiba, ami pont azt a Microsoft Malware Protection Engine (mpengine.dll) összetevőt érintette, mely a víruskereső és kémprogram-elhárító szoftver számára biztosítja a szkennelési, észlelési és tisztítási képességeket. A rés saját bevallásuk szerint már jóval a javítás kiadása előtt aktív használatban volt, de a visszaélésekre vonatkozó statisztikai adatokat sajnos nem ismerhettünk meg. Annyit azonban tudhatunk, hogy a sikeres támadáshoz még alacsony felhasználói jogosultság sem feltétlenül szükséges, és arra sincs szükség, hogy az aktiváláshoz a gép tulajdonosa valamilyen meghatározott tevékenységet végezzen. Ami a leginkább furcsa, hogy a hivatalos információs lap szerint a hiba a Windows 7-ig visszamenően a korábbi operációs rendszerekben is fennáll, ez a probléma tehát nem a közelmúlt terméke.
A korrektség kedvéért azért érdemes megjegyezni, hogy a vírusvédelmi szoftverekben rejtőző biztonsági rés nem példa nélküli jelenség és többek között az Apple is tiltott már ki olyan biztonsági célú alkalmazásokat, melyek többek között felhasználói adatokat közvetítettek gyanús keleti szerverek felé. Az mindenesetre továbbra is kínos, hogy a milliók adataiért felelős operációs rendszer saját hivatalos frissítései havi rendszerességgel szállíthatnak ilyen meglepetéseket. A legutóbbi foltozás a Defender hibáján kívül 82 másik problémát hivatott orvosolni, melyek olyan alkalmazásokat és összetevőket is érintenek, mint az Edge böngésző, ChakraCore, Office és Microsoft Office Services, Web Appok, Visual Studio, .NET Core, ASP .NET, és Azure. A 83-ból összesen 10 hibát minősítettek kritikusnak, a többi 73 pedig Important, vagyis Fontos besorolást kapott. Az Edge böngészőt sújtó CVE-2021-1705 hiba például egy HTML-alapú sebezhetőség, mely memóriahibák kihasználására épül, míg a CVE-2021-1674 a Windows távoli asztali protokoll alapvető biztonsági szolgáltatását kerülte meg.
A CVE-2021-1648 is megér egy misét, ugyanis egy olyan alapvető rendszerösszetevőt kiszolgáltató hiba volt, amit még szeptember végén a Google biztonsági részlege fedett fel. A jelentés különlegességét az adja, hogy a Google Project Zero csapatánál bevett szokás, hogy minden felfedezést először a rendszerek fejlesztőinek jelez, majd vár 90 napot és csak azután hozza nyilvánosságra a jelentését, ha az illetékesek ezalatt nem adtak ki javítást. Nos, ez a Microsoftnak láthatóan nem sikerült, mivel a helyzetről végül a Google adott ki tájékoztatást. A splwow64.exe amúgy a Windows egyik fontos, alapszolgáltatását vezérlő eleme, mely a nyomtatókezelésben játszik fontos szerepet, és segít más folyamatok és alkalmazások számára, hogy hozzáférjenek a különböző nyomtatási funkciókhoz. A sérülés sikeres kihasználásával szintén tetszőleges kódok futtatása válik lehetségessé, és akár egy teljes Rendszergazdai jogosultságokkal felruházott fiók létrehozását is lehetővé teszi, mellyel lényegében bármilyen kártékony tevékenység kivitelezhető. A helyzet sajnos a Microsoft részéről duplán kínosnak tekinthető, mivel korábban azt nyilatkozták, hogy egy júniusi frissítés keretében már javításra került. Ezzel szemben a Google azt jelentette, hogy a veszély lehetősége továbbra is fennáll, csak más megközelítést igényel a támadó részéről.
A január 12-én aktivált frissítőcsomag mindenki számára elérhető a Windows Update szolgáltatás alatt, de a manuális keresést elmulasztó felhasználók sem maradnak le róla, mivel náluk néhány napon belül automatikusan letöltődik és aktiválódik.
Források: TheHackersNews.com, theregister.com, zdnet.com, msrc.microsoft.com