Diffract

**Nome do Software Vulnerável e Versões Afetadas** Microsoft Defender antimalware platform versões anteriores a 4.18.26030.3011 Windows 10 (versões afetadas não especificadas) Windows 11 (versões afetadas não especificadas) Windows Server 2019 e posteriores (versões afetadas não especificadas) **Description** O Microsoft Defender contém uma granularidade insuficiente de controle de acesso e uma falha de tempo de verificação para tempo de uso (TOCTOU) em seu fluxo de trabalho de atualização de assinaturas e remediação. Este problema permite que um invasor local ou aplicativo malicioso ignore as verificações de segurança e eleve seus privilégios para `NT AUTHORITYSYSTEM`. A exploração técnica envolve uma cadeia lógica usando a API Windows Cloud Files, Volume Shadow Copy (VSS) e Travas Oportunistas (Oplocks). Invasores podem disparar uma atualização do Defender ou um evento de remediação e usar `Oplocks` para pausar o processo durante a criação de um snapshot VSS. Isso permite que o invasor acesse snapshots estáticos das colmeias de registro `SAM`, `SYSTEM` e `SECURITY` para extrair hashes administrativos ou competir com a reescrita de arquivos maliciosos marcados na nuvem para sobrescrever um binário do SYSTEM, como `C:Windowssystem32TieringEngineService.exe`. Incidentes reais foram relatados onde esta falha foi usada por agentes de ameaças para desativar logs de segurança, criptografar discos rígidos via ransomware e exfiltrar dados sensíveis, incluindo senhas de navegador e cookies de sessão. Alguns ataques foram vinculados a conexões FortiGate SSL VPN comprometidas originárias da Rússia. **Recommendations** Atualize a plataforma antimalware do Microsoft Defender para a versão 4.18.26030.3011 ou superior. Restrinja o Serviço de Cópia de Sombra de Volume (Volume Shadow Copy Service) apenas a usuários administrativos específicos via Política de Grupo. Monitore qualquer processo que chame `vssvc.exe` que não seja uma ferramenta de backup reconhecida. Audite os logs em busca de atividade incomum do `CldFlt` (Cloud Files Mini Filter) originada de diretórios que não sejam do sistema.