Kritická zero-day zraniteľnosť v Microsoft Windows Defender a ďalších desať v januárovom balíku opráv pre Windows
Spoločnosť Microsoft vydala januárové opravy pre operačné systémy Windows. V balíku 83 aktualizácií sa vyskytuje 11 kritických, z ktorých dve aktívne zneužívané sa nachádzajú vo Windows Defender a ovládači tlačiarní splwow64.exe. Umožňujú vzdialené vykonávanie kódu, falšovanie identity a zvýšenie privilégií.
Dôsledky
- Zvýšenie privilégií
- Vykonávanie ľubovoľného kódu
- Zmena identít podov v klastroch Kubernetes
Opis činnosti
CVE-2021-1647, CVE-2021-1648
Spoločnosť Microsoft opravila v rámci svojho januárového balíka opráv “Patch Tuesday” 83 zraniteľností, z toho jedenásť kritických.
Jednou z nich je kritická zraniteľnosť antimalvérového riešenia Windows Defender s označením CVE-2021-1647, ktorá je podľa bezpečnostných výskumníkov aktívne zneužívaná v posledných troch mesiacoch. Pravdepodobne bola zneužitá aj pri masívnom decembrovom útoku na americkú vládnu infraštruktúru cez softvér SolarWinds. Zraniteľnosť sa nachádza v nástroji Microsoft Malware Protection Engine.
Aktívne zneužívanou zraniteľnosťou pravdepodobne je tiež CVE-2021-1648 v procese pre ovládač tlačiarní SPLWOW64.exe, ktorá umožňuje zvýšenie privilégií. Jedná sa o druhý pokus opraviť zraniteľnosť tohto procesu. Prvá oprava zaniesla do procesu chybu umožňujúcu čítanie mimo povolených hraníc.
Ostatné kritické zraniteľnosti sa nachádzajú v Azure Active Directory, službách Remote Procedure Call (RPC) a Remote Desktop Protocol (RDP), prehliadači Edge, Windows Graphics Device Interface, HEVC Video Extensions a Microsoft DTV-DVD Video Decoder. Umožňujú vzdialené vykonávanie kódu a predstieranie cudzej identity.
Zraniteľné systémy
- Microsoft Malware Protection Engine 1.1.17600.5 – 1.1.17700.4
- Systémy Microsoft Windows
Závažnosť zraniteľnosti
Vysoká
Možné škody
Únik informácií
Vzdialené vykonávanie kódu
Odporúčania
Odporúčame bezodkladnú inštaláciu januárového balíka opráv Microsoft.
Odkazy
https://threatpost.com/critical-microsoft-defender-bug-exploited/162992/
https://krebsonsecurity.com/tag/cve-2021-1647/
https://www.darkreading.com/threat-intelligence/microsoft-defender-zero-day-fixed-in-first-patch-tuesday-of-2021/d/d-id/1339881
https://www.zerodayinitiative.com/blog/2021/1/12/the-january-2021-security-update-review