Existe a hipótese, atestada pelos profissionais, de que o bug permaneceu oculto porque o driver infectado não está armazenado no disco rígido do computador em tempo integral, como no caso de impressoras. Em vez disso, ele fica em um sistema Windows denominado Biblioteca de vínculo dinâmico (DLL) e o Windows Defender só o carrega quando necessário. Então, assim que o driver para de rodar, ele é apagado do disco novamente, não deixando rastros.
Após 12 anos, Microsoft finamente corrige bug encontrado em seu programa de antivírus
Um bug no antivírus Microsoft Defender foi corrigido após 12 anos em que passou despercebido pela empresa e, felizmente, por vários hackers. A falha, rastreada como CVE-2021-24092, foi descoberta em novembro de 2020 por pesquisadores da empresa de segurança SentinelOne, no momento do apagamento de arquivos considerados maliciosos.
Quando questionados sobre a impressionante duração da vulnerabilidade, os pesquisadores afirmam que ela poderia estar presente no Windows há muito mais tempo, mas por conta da limitação no período que a ferramenta VirusTotal armazenou suas informações, a investigação não conseguiu ser conclusiva neste ponto. Atualizações feitas a partir de 2009 que rodam nos modelos que ainda utilizam o Windows 7 e os mais novos do Windows 10 foram afetados.
O primeiro relato feito à Microsoft foi considerado de “alto risco”, embora exista um desacordo com esta afirmação, uma vez que ela só pode ser explorada quando um invasor já tem acesso — remoto ou físico — a um dispositivo de destino. Entretanto, um invasor pode tirar vantagem do espaço adquirido para comprometer o maquinário, sem ter que primeiro obter acesso a contas de usuário com privilégios, como dos administradores.
Em nota ao SentinelOne, a Microsoft afirma que as atualizações serão feitas de forma automática, mas aconselha seus clientes a verificar manualmente se há atualizações imediatas que desejam instalar. “É claro que, embora pareça que a vulnerabilidade não tenha sido explorada, existe a chance dela ser descoberta e se aproveitarem em sistemas sem patch.”
Uma outra detecção foi feita em julho de 2020, quando a empresa israelense Check Point apontou uma vulnerabilidade que perdurava há 17 anos no DNS do Windows, que eles chamaram de SigRed. Na época, Omri Herscovici, chefe de pesquisa da companhia, disse que o bug poderia realizar um ataque de grandes proporções. “Não requer interação. E não apenas isso, uma vez dentro do controlador de domínio que executa o servidor DNS do Windows, expandir seu controle para o resto da rede é realmente fácil”, diz Omri Herscovici. “É basicamente o fim do jogo.”