Microsoft: Windows Defender niet kwetsbaar voor AVGater

[Captain Kirk]

Een beveiligingslek in de quarantainefunctie van verschillende anti-virusprogramma's is niet aanwezig in Windows Defender, zo heeft Microsoft bekendgemaakt. Via de kwetsbaarheid, genaamd AVGater, kan een aanvaller die een computer heeft gehackt zijn rechten op het systeem verhogen.

De aanvaller moet hiervoor eerst de virusscanner een kwaadaardig dll-bestand in quarantaine laten plaatsen. Vervolgens is het mogelijk om het in quarantaine geplaatste bestand naar een willekeurige directory terug te zetten. Het gaat dan bijvoorbeeld om de directory van een applicatie. De applicatie zal wanneer gestart het dll-bestand laden waardoor de code van de aanvaller met hogere rechten wordt uitgevoerd.

Volgens Microsoft gaat het om een relatief oude aanvalsvector en is Windows Defender hier nooit kwetsbaar voor geweest. De virusscanner staat het namelijk niet toe dat applicaties die door gebruikers met verminderde rechten zijn gelanceerd bestanden uit quarantaine kunnen halen. De maatregel moet tegen deze en andere kwetsbaarheden met gebruikersrechten beschermen, aldus de softwaregigant. Het beveiligingslek is inmiddels door verschillende anti-virusbedrijven gepatcht. Andere virusbestrijders komen nog met updates. De onderzoeker die het probleem ontdekte heeft de namen van de nog kwetsbare bedrijven niet bekendgemaakt.

 

 

bron: security.nl