Een beveiligingsonderzoeker heeft een werkende exploit gepubliceerd voor een kwetsbaarheid in Microsoft Defender, waarmee aanvallers systeemrechten op administratorniveau kunnen verkrijgen. Deze kwetsbaarheid treft meerdere versies van Windows, waaronder Windows 10, Windows 11 en Windows Server.
De fout bevindt zich in Microsoft Defender, de standaard antivirusoplossing die door Microsoft zelf wordt meegeleverd en op miljoenen systemen actief is. Door misbruik te maken van deze kwetsbaarheid kunnen aanvallers hun rechten verhogen tot het hoogste niveau binnen het systeem, zonder dat de gebruiker daar direct iets van merkt. Dit maakt het mogelijk om diepgaande wijzigingen door te voeren, zoals het aanpassen van systeembestanden, het installeren van malware of het volledig overnemen van het systeem.
Hoe de kwetsbaarheid werkt
De kwetsbaarheid, die door de onderzoeker de naam “RedSun” heeft gekregen, werd ontdekt door een beveiligingsonderzoeker die opereert onder het pseudoniem Chaotic Eclipse. Deze onderzoeker heeft in het verleden ook al kritiek geuit op Microsoft vanwege het negeren van meldingen van beveiligingsproblemen.
Volgens de onderzoeker zit het probleem in de manier waarop Microsoft Defender omgaat met verdachte bestanden die een zogeheten “cloud-tag” hebben. In plaats van deze bestanden te verwijderen of in quarantaine te plaatsen — wat je van antivirussoftware zou verwachten — kan Defender in bepaalde gevallen het bestand opnieuw terugschrijven naar de oorspronkelijke locatie.
De gepubliceerde proof-of-concept (PoC) maakt misbruik van dit gedrag. Door dit mechanisme slim te manipuleren, kan een aanvaller ervoor zorgen dat legitieme systeembestanden worden overschreven met kwaadaardige code. Omdat deze bestanden vaak met verhoogde rechten worden uitgevoerd, leidt dit uiteindelijk tot volledige administratorrechten voor de aanvaller.
Kort gezegd: de beveiligingssoftware die bedoeld is om het systeem te beschermen, kan in deze situatie juist worden gebruikt om het systeem te compromitteren.
Publicatie van de exploit en controverse
De onderzoeker heeft de exploit publiek gemaakt via een GitHub-repository, inclusief uitleg over hoe de kwetsbaarheid werkt. Dit is een controversiële stap, omdat het publiceren van een werkende exploit het risico vergroot dat kwaadwillenden deze snel oppakken en misbruiken.
Volgens de onderzoeker is deze beslissing ingegeven door frustratie over de manier waarop Microsoft met zijn melding is omgegaan. Hij stelt dat eerdere pogingen om de kwetsbaarheid via de officiële kanalen (zoals het Microsoft Security Response Center) te melden niet serieus zijn genomen en zelfs tot negatieve persoonlijke ervaringen hebben geleid.
Hoewel dergelijke claims moeilijk onafhankelijk te verifiëren zijn, onderstrepen ze een bredere spanning die soms bestaat tussen onafhankelijke beveiligingsonderzoekers en grote technologiebedrijven over de afhandeling van kwetsbaarheden.
Huidige status en risico’s
De kwetsbaarheid werd ontdekt na de Patch Tuesday-update van april, maar op dit moment is er nog geen officiële beveiligingsupdate beschikbaar die het probleem verhelpt. Dat betekent dat systemen voorlopig kwetsbaar kunnen blijven zolang Microsoft geen patch uitbrengt.
Op dit moment zijn er geen bevestigde meldingen dat deze specifieke kwetsbaarheid actief wordt misbruikt in echte aanvallen. Toch is het risico reëel: omdat de exploit publiek beschikbaar is, kunnen cybercriminelen deze relatief eenvoudig analyseren en inzetten.
Wat kun je doen om jezelf te beschermen?
Zolang er geen officiële oplossing beschikbaar is, is het verstandig om extra voorzorgsmaatregelen te nemen:
- Overweeg het gebruik van aanvullende beveiligingssoftware naast Microsoft Defender.
- Zorg ervoor dat je systeem en alle software up-to-date blijven.
- Vermijd het openen van onbekende bestanden of downloads uit onbetrouwbare bronnen.
- Werk met een standaardgebruikersaccount in plaats van een administratoraccount voor dagelijks gebruik.
- Houd beveiligingsnieuws in de gaten zodat je snel kunt handelen zodra er een patch beschikbaar komt.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack