SIKKERHET

Britisk e-tjeneste varslet om skrekksårbarhet i Windows Defender

Sørg for at sikkerhetsoppdateringen er installert.

En svært alvorlig sårbarhet ble fjernet fra en underkomponent av Windows Defender i forrige uke.
En svært alvorlig sårbarhet ble fjernet fra en underkomponent av Windows Defender i forrige uke. Skjermbilde: digi.no
Harald BrombachHarald BrombachNyhetsleder
11. des. 2017 - 13:43

Microsoft kom i forrige uke med en svært viktig sikkerhetsoppdatering til selskapets Malware Protection Engine, som blant annet brukes av Windows Defender, sikkerhetsverktøyet som er en del av nyere Windows-versjoner. 

Vanligvis kommer Microsoft bare med sikkerhetsoppdateringer den andre tirsdagen i hver måned. Men dette gjelder ikke selskapets Microsoft Malware Protection Engine, som oppdateres sammen med signaturoppdateringene som den benytter. 

Særdeles alvorlig

Ifølge Microsoft selv åpnet sårbarheten for fjernkjøring av vilkårlig og potensielt skadelig i konteksten til LocalSystem-kontoen, noe som kunne gjøre det mulig for angripere å få full kontroll over systemet. Alt som skulle til, var å sørge for at sikkerhetsprogramvare skannet en spesielt utformet fil, for eksempel mottatt som et epostvedlegg eller som en del av en infisert eller ondsinnet webside som brukeren lokkes til å besøke.

Det skal mye til for at en sårbarhet blir mer alvorlig enn dette, ikke minst fordi sikkerhetsprogramvare gjerne har svært store privilegier på systemene hvor de kjøres.

En slik sårbarhet er gull verdt for både skurker og spioner. Hadde den blitt oppdaget av feil gruppering, ville den kunne ha blitt utnyttet i lang tid. 

GCHQ

Men denne sårbarheten ble oppdaget av National Cyber Security Centre (NCSC), som er en del av Storbritannias motpart til signaletterretningsorganisasjonen NSA, nemlig GCHQ (Government Communications Headquarters).

Selv om også GCHQ nok kunne ha hatt stor nytte av å ha en slik sårbarhet i eget kyberarsenal, har organisasjonen flere roller, og NCSC-delen tar seg av én av disse, nemlig å bidra til å beskytte Storbritannia mot kyberangrep

En slik sårbarhet som den Microsoft fjernet i forrige uke, utgjorde utvilsomt en stor risiko. I tillegg til faren for at også andre skulle oppdage sårbarheten, har det de siste årene blitt demonstrert at flere vestlige etterretningsorganisasjoner ikke har vært i stand til å hindre at detaljer om hamstrede sårbarheter har lekket.

Det ser ikke ut til at verken NCSC eller GCHQ har kommet med noen kommentar til denne sårbarheten, men trolig har den blitt ansett for å være for risikabel til å holdes skjult.

Sjekk versjonsnummeret

Sårbarheten er fjernet fra i Microsoft Malware Protection Engine med versjonnummer 1.1.14405.2 og høyere. I Windows 10 kan man sjekke versjonsnummeret ved å gå til Innstillinger->Oppdatering og sikkerhet->Windows Defender. 

Windows-brukere som benytter sikkerhetsprogramvare fra Microsoft, bør forsikre seg om at Microsoft Malware Protection Engine nylig har blitt oppdatert. <i>Skjermbilde: digi.no</i>
Windows-brukere som benytter sikkerhetsprogramvare fra Microsoft, bør forsikre seg om at Microsoft Malware Protection Engine nylig har blitt oppdatert. Skjermbilde: digi.no

Da får man opp en oversikt over versjonsinformasjon, og versjonsnummeret til Malware Protection Engine er oppgitt i forbindelse med punktet «Motorversjon».

Leste du denne? Microsoft fjerner «verste Windows-sårbarhet i nyere tid»

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.