Bár a Windows-okban és az abban épített szoftverekben viszonylag rendszeresen fedeznek fel új sebezhetőségeket, ahhoz hasonlót mégis keveset találnak, mint amilyenre a közelmúltban sikerült rábukkannia egy biztonsági cégnek. A SentinelOne munkatársainak ugyanis magában a Windows beépített vírusirtó szoftverében, a Defender-ben sikerült egy sérülékenységet azonosítaniuk, ami ráadásul több mint egy évtizede bújt meg abban - anélkül, hogy bárki észrevette volna.

A sebezhetőség a Defender a különösen ravasz, ún. rootkit típusú kártevőkkel elbánó részében bújik meg - annak is azon rutinjaiban, amik a szoftver által végzett műveleteket naplózzák egy fix elérési úton található állományba. A problémát az képezi, hogy utóbbiak minden egyes új vizsgálatkor felülírják a szóban forgó naplófájlt, de úgy, hogy nem ellenőrzik, hogy az valóban egy külön állományt képez vagy csak egy ún. szimbolikus linket, ami csak egy mutató egy másik, tetszőleges állományra.

Emiatt ha hackerek vagy vírusok a naplóállomány helyén egy ilyen linket helyeznek el, a Defendert rávehetik tetszőleges, általuk kijelölt, és a rendszer - vagy akár a Defender - részét képező állomány tönkretételére; olyanokéra is, amikhez egyébként a biztonsági rendszer korlátjai miatt nem férnének hozzá. Ezt a lehetőséget felhasználhatják a rendszer indíthatatlanná tételére, egyes védelmi mechanizmusok vagy szoftverek kiiktatására, vagy a tevékenykedésüket és jelenlétüket lebuktató naplóállományok vagy más árulkodó jelek eltüntetésére is.

A sebezhetőséget távolról nem, csak helyileg lehet kihasználni (tehát ha a káros kód vagy a hacker valamilyen módon már bejutott a gépre), ráadásul az a fentiekkel összefüggésben fertőzésre vagy adatok kiszivárogtatására nem alkalmas, hanem mindössze csak állományok törlését, illetve megsemmisítését lehet vele elérni. Ráadásul a hibát a Microsoft a múlt heti foltkedden kiadott frissítésében már javította is - így akik gépén az fent van, már egyáltalán nem kell aggódniuk miatta.

A szakértők azt sejtik, hogy a Defender-sebezhetőség azért maradhatott ilyen hosszú időn át felfedezetlen - remélhetően a hackerek számára is -, mert a meghajtóprogram amiben rejlik (btr.sys), nem található meg állandó jelleggel a Windows-okon, hanem azokra csak arra az időre tölti le a vírusvédelmi szoftver, amíg szüksége van rá, és utána - a következő használatig - törli azt.