Come funziona il bug di Windows Defender che permette di sovrascrivere qualunque file

Gli esperti di SentinelOne hanno scoperto un problema di sicurezza che era presente nelle varie versioni di Windows Defender (oggi chiamato Microsoft Defender) da almeno 12 anni. Fino ad oggi il bug è passato inosservato – o almeno così sembra – ma i ricercatori hanno evidenziato come possa permettere l’acquisizione di privilegi più elevati grazie alla sovrascrittura di qualunque componente di Windows.

SentinelOne spiega di aver segnalato il problema a Microsoft lo scorso novembre e che il problema è stato risolto con il rilascio del motore di scansione 1.1.17800.5 per Windows Defender. L’aggiornamento correttivo viene distribuito attraverso Windows Update ma vale la pena controllare che sui propri sistemi sia già stato applicato.

Per farlo basta digitare Sicurezza di Windows nella casella di ricerca, fare clic su Impostazioni in basso a sinistra quindi su Informazioni su. In corrispondenza di Versione motore si dovrà leggere 1.1.17800.5 o una release successiva. Tutte quelle precedenti, infatti, risultano vulnerabili.

I ricercatori spiegano che il file BTR.sys è utilizzato da Windows Defender per risolvere i problemi rilevati sul sistema (ad esempio per la rimozione delle minacce individuate).
Si tratta di un driver responsabile delle risorse a livello di file system e di registro di sistema create dai componenti software malevoli operando in kernel mode.

Quando caricato il file BTR.sys crea un handle verso un un file di log che tiene traccia delle operazioni eseguite. Un handle è appunto un riferimento verso un blocco di memoria o un oggetto specifico che viene utilizzato dal software in esecuzione sul sistema.
SentinelOne ha scoperto l’utilizzo di una costante – presente nel codice del driver usato da Windows Defender – che può essere sfruttata da parte di un aggressore per sostituire file arbitrari sostituendo le versioni originali con varianti modificate.

La vulnerabilità in questione viene considerata pericolosa perché senza disporre di alcun privilegio particolare un aggressore può rimpiazzare file memorizzati in Windows con oggetti sviluppati “ad hoc”. In questo modo, sostituendo ad esempio componenti software che vengono eseguiti con i diritti amministrativi, è possibile provocare il caricamento di codice dannoso.

Verificando le firme (hash) dei file BTR.sys conosciuti su VirusTotal (vedere VirusTotal: guida all’uso del servizio per controllare l’identità dei file), SentinelOne ha potuto accertare che il problema esiste in Windows almeno dal 2009 ma non si esclude che fosse presente ancor prima dal momento che VirusTotal non permette di effettuare ricerche così indietro nel tempo.