Kritická zero-day zraniteľnosť v Microsoft Windows Defender a ďalších desať v januárovom balíku opráv pre Windows

Spoločnosť Microsoft vydala januárové opravy pre operačné systémy Windows. V balíku 83 aktualizácií sa vyskytuje 11 kritických, z ktorých dve aktívne zneužívané sa nachádzajú vo Windows Defender a ovládači tlačiarní splwow64.exe. Umožňujú vzdialené vykonávanie kódu, falšovanie identity a zvýšenie privilégií.

Dôsledky

  • Zvýšenie privilégií
  • Vykonávanie ľubovoľného kódu
  • Zmena identít podov v klastroch Kubernetes

Opis činnosti
CVE-2021-1647, CVE-2021-1648

Spoločnosť Microsoft opravila v rámci svojho januárového balíka opráv “Patch Tuesday” 83 zraniteľností, z toho jedenásť kritických.

Jednou z nich je kritická zraniteľnosť antimalvérového riešenia Windows Defender s označením CVE-2021-1647, ktorá je podľa bezpečnostných výskumníkov aktívne zneužívaná v posledných troch mesiacoch. Pravdepodobne bola zneužitá aj pri masívnom decembrovom útoku na americkú vládnu infraštruktúru cez softvér SolarWinds. Zraniteľnosť sa nachádza v nástroji Microsoft Malware Protection Engine.

Aktívne zneužívanou zraniteľnosťou pravdepodobne je tiež CVE-2021-1648 v procese pre ovládač tlačiarní SPLWOW64.exe, ktorá umožňuje zvýšenie privilégií. Jedná sa o druhý pokus opraviť zraniteľnosť tohto procesu. Prvá oprava zaniesla do procesu chybu umožňujúcu čítanie mimo povolených hraníc.

Ostatné kritické zraniteľnosti sa nachádzajú v Azure Active Directory, službách Remote Procedure Call (RPC) a Remote Desktop Protocol (RDP), prehliadači Edge, Windows Graphics Device Interface, HEVC Video Extensions a Microsoft DTV-DVD Video Decoder. Umožňujú vzdialené vykonávanie kódu a predstieranie cudzej identity.

Zraniteľné systémy

  • Microsoft Malware Protection Engine 1.1.17600.5 – 1.1.17700.4
  • Systémy Microsoft Windows

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Vzdialené vykonávanie kódu

Odporúčania
Odporúčame bezodkladnú inštaláciu januárového balíka opráv Microsoft.

Odkazy
https://threatpost.com/critical-microsoft-defender-bug-exploited/162992/
https://krebsonsecurity.com/tag/cve-2021-1647/
https://www.darkreading.com/threat-intelligence/microsoft-defender-zero-day-fixed-in-first-patch-tuesday-of-2021/d/d-id/1339881
https://www.zerodayinitiative.com/blog/2021/1/12/the-january-2021-security-update-review