Windows 10 Defender anti-virüs yazılımını da etkileyen bir açık, 12 yıl boyunca giderilmedi.
- Microsoft Defender, son Chrome güncellemesini virüslü buldu
- Windows Defender ile antivirüs tarama [Nasıl yapılır]
- Windows 10’da Microsoft Defender gerçek zamanlı koruma özelliği nasıl kapatılır?
Microsoft, Windows 10’daki çok sayıda güvenlik açığını düzelten Şubat Yaması’nı dün yayınladı. Bunların arasında, hem bilgisayarlarımızda uzaktan kod çalıştırmaya hem de mavi ekranlar hatalarına neden olabilecek birkaç sıfır gün güvenlik açığı vardı. Ayrıca, işletim sisteminde en az 12 yıldır mevcut olan başka bir açık da bu güncelleme ile birlikte yamalandı.
Biber güvenlik şirketi SentinelOne, Microsoft tarafınan yayınlanan güncellemenin ardından bir açıklama yaptı. Ve Microsoft tarafından yamalanan bir açığın 12 yıldan bu yana mevcut olduğunu söyledi. Yeni güncellemenin daha fazla kullanıcıya ulaşması için biraz daha beklenmesi gerektiğini belirten şirket, açıklamada konuyla ilgili çok fazla teknik detaya yer vermedi.
Windows Defender’ı da etkileyen açık, 12 yıl boyunca yamalanmadı
Söz konusu açık, işletim sisteminin en hassas unsurlarından biri olan Windows Defender’da da mevcuttu. Paylaşılan bilgilere göre söz konusu açık, yazılımı tarafından kötü amaçlı virüslerin bilgisayara yaymak için oluşturabileceği istilacı dosyaları ve altyapıyı önlemek için kullanılan bir sürücüyü de etkiliyordu; ki bu, bir virüs koruma yazılımının en temel bir özelliklerinden bir tanesidir. Sürücü kötü amaçlı dosyayı sildiğinde, kötü amaçlı yazılım, onu zararsız bir dosya ile değiştirebiliyordu. Ancak araştırmacılar, Windows Defender’ın oluşturulan yeni dosyayı kontrol etmediğini fark ettiler, bu nedenle bir saldırgan, sürücüyü yanlış dosyanın üzerine yazılabilecek ve hatta kötü amaçlı kod çalıştırabilecek şekilde değiştirebiliyordu.
Windows Defender, işletim sistemine varsayılan olarak dahil edildiği için dünya çapında yüz milyonlarca kişi tarafından kullanılmaktadır. Bu nedenle, içindeki bir kusur oldukça tehlikeli olabilmektedir.
Windows Vista kullanıcıları bile etkilendi
Söz konusu açık Kasım ortasında Microsoft’a bildirildi ve nihayet bu hafta yayınlanan Şubat güncellemesi ile birlikte giderildi. Güvenlik açığı yüksek riskli kabul edildi ve yalnızca bilgisayara uzaktan veya fiziksel erişimi olan saldırganlar tarafından kullanılabileceği belirtildi. Bu nedenle, bu açığı kullanmak için onu başka bir güvenlik açığıyla birleştirmek gerekiyor.
SentinelOne ve Microsoft’a göre, güvenlik açığının bir saldırgan tarafından kullanıldığına dair bir kanıt yok. Ancak, 12 yıl uzun bir süre olduğu için bunu bilmek zor. Dahası, araştırmacılar, güvenlik açığının daha uzun süre mevcut olabileceğini iddia ediyorlar. Zira araştırma sırasında kullanılan VirusTotal antivirüs veritabanı 2009 ile sınırlı bulunuyor.
SentinelOne, etkilenen sürücünün her zaman bilgisayarda depolanmaması nedeniyle kusurun keşfedilmesinin çok uzun sürdüğüne inanıyor. Bunun yerine, “dinamik bağlantı kitaplığı” adlı bir sistem kullanılırsa, sürücü yalnızca gerektiğinde yüklenir ve daha sonra kaldırır. Ayrıca, bu tür kusurların başka antivirüs yazılımlarında da olabileceği ifade ediliyor. Şirket bu nedenle diğer şirketleri yazılımlarında bu tür güvenlik açıklarını kontrol etmeye davet ediyor.
