微软修补Microsoft Defender存在12年之久的重大风险漏洞

安全厂商发现微软终端安全软件Microsoft Defender一项重大的权限扩张漏洞，可使攻击者得以删除档案或接管装置。微软已在上周的Patch Tuesday修补本项漏洞。

这项漏洞发生在（原名Windows Defender的）Microsoft Defender的驱动程式BTR.sys。它只在Defender侦测到恶意程式时矫正时载入，负责从核心模式下删除恶意程式建立的档案系统及登录档资源。这时它会建立一个记录其删除行动的档案，以及一个控制代码（handle）。

安全厂商SentinelOne发现，漏洞出在它并未验证这个档案是否为一个指向其他档案连结。因此若攻击者丢入一个系统连结，就能使这驱动程式覆写掉任何他指定的档案，这就能达到删除档案、资料，或是执行程式码的目的，即使不具管理员权限。

研究人员发现，这个漏洞从2009年，还是Windows Defender的年代就已存在迄今而没被发现。所幸他们没有发现该漏洞有被开采的迹象。

Wired报导这个漏洞若被开采后果将相当严重。它内建在Windows出货到每台PC，而且为Windows信任，也获得微软签章，可让攻击者执行想要的攻击行动，包括删除重要档案或接管系统。

安全厂商于去年11月通报微软，微软已于2月9日的Patch Tuesday中予以修补。