Microsoft Defender kullanıcılarının sorunlarını başka bir antivirüse gerek kalmadan çözmesiyle beğeni topladı. Ancak yazılımda derinlerde kalmış bir sorun geçen senenin sonunda göze çarptı.
Bilgisayarın güvenliğinde yer alan bir zayıflık ne kadar eski olursa olsun bir risktir. Bu tür sorunlar daha önce Adobe Flash gibi birçok uygulamada bu karşımıza çıktı. Ne var ki korsanlar bu tür zayıflıkları daha sonrası için de saklayabiliyor. Buna benzer bir güvenlik açığı da yakın zamanda Windows Defender’da ortaya çıktı. Üstelik bu açığın yaklaşık 12 yıldır yazılımın için var olduğu da bunun asıl korkutucu tarafı oldu. Neyse ki bu hata uzun zamandır kimsenin gözüne çarpmamış. Sonuçta Microsoft bu sorunu giderdi. Bundan emin olmak için saldırganların bu soruna zaman harcamak istemeyeceklerinden emin oldular.
SentinelOne isimli güvenlik firmasındaki araştırmacılar bu zayıflığı keşfetti. Bu sorun ismi Windows Defender’dan Microsoft Defender’a dönüşen yazılımın kullandığı bir sürücüden kaynaklı. Uygulama bu sürücüyü kötü amaçlı yazılımların oluşturduğu dosyaları ve altyapıları silmeye yarıyor.
Microsoft Defender içindeki bu sorun bilgisayara nasıl zarar verebiliyor?
Bahsettiğimiz sürücü kötü amaçlı bir yazılımı kaldırdığında yaptığı düzenlemeler için zararlı yazılımın yerine bir dosya koyuyor. Ancak araştırmacılar, sistemin bu yeni dosyanın güvenliğini doğrulamadığını ortaya çıkardı. Sonuç olarak bu yer tutan dosyanın istenen zararlı bir dosyayla değiştirilebilmesi gayet mümkün. Bu sayede Windows Defender’ın göz ardı ettiği zararlı dosyalar bilgisayarda rahatlıkla kendilerine yaşam alanı bulurlar.
Büyük çaplı işletim sistemleri içinde yıllarca saklanmayı başarmış bir açık olması gerçekten korkutucu. Bunun yanında araştırmacılar, Windows’ta bu sorunun çok daha uzun süredir de olabileceğini söylüyor. Ve fakat Windows Vista’dan Windows 7’ye geçiş 2009’da yaşandı. Bu da bize bu açığın başlangıç noktasını yaklaşık buraya koymamızı sağlar.
Bu önemli açığın şimdiye dek kullanılmamasının sebebini de uzmanlar açıkladı. Sözkonusu güvenlik sürücüsü sürekli değil sadece gerekli durumlarda çalışıyor. Bu da demek oluyor ki herhangi bir yazıcı sürücüsü kadar saldırganların iştahını kabartmıyor. Bu sürücü alışılanların dışında “dinamik bağlantı kitaplığı” isimli bir yerde bulunuyor. Böylece sürücüyü Windows Defender ihtiyaç durumunda yükleyerek çalıştırır. Sürücü işini bitirdiğinde tekrar kullanılacağı zamana kadar silinir. Bu da söz konusu açığın sadece taramalar sırasında etki edebilmesine neden olur.
Her ne kadar çok dar bir alanda çalışsa da gün gelip bir saldırganın bu küçük kapıyı zorlayıp açmayacağını düşünemeyiz. Bu yüzden büyük bir krize neden olmadan bu zayıflığın ortadan kalkması sevindirici bir haber.
Diğer haberler:
>> Microsoft Edge Eklentileri Arasında Sonic ve Mario Kart Var
