漏洞陈旧并不意味着它没用。无论是Adobe Flash黑客，还是针对Windows的永恒蓝攻击，有些方法太好了，让攻击者舍不得放弃，即使它们已经过时好几年了。但直到最近，微软(Microsoft)无处不在的Windows Defender防病毒软件中一个12年前存在的关键漏洞似乎一直被攻击者和防御者忽视。现在微软终于修补了它，关键是要确保黑客不会试图弥补失去的时间。

这个漏洞是由网络安全公司SentinelOne的研究人员发现的，出现在一个驱动程序上，Windows Defender(去年更名为Microsoft Defender)用来删除恶意软件可能创建的入侵文件和基础设施。当驱动程序删除一个恶意文件时，它会在修复期间用一个新的、良性的文件替换它，作为一种占位符。但研究人员发现，系统并没有专门验证新文件。因此，沐鸣开户测速攻击者可以插入战略性的系统链接，引导驱动程序覆盖错误的文件，甚至运行恶意代码。

对于此类操作的攻击者来说，“Windows卫士”将发挥无穷无尽的作用，因为它默认与Windows一起发布，因此在全球数亿台计算机和服务器上都存在。该防病毒程序在操作系统中也受到高度信任，易受攻击的驱动程序是由微软加密签署的，以证明其合法性。在实践中，利用该漏洞的攻击者可能会删除关键软件或数据，甚至指示驱动程序运行自己的代码来接管设备。

SentinelOne的高级安全研究员卡西夫•德克尔(Kasif Dekel)表示:“这个漏洞允许特权升级。”“在低权限下运行的软件可能会提升到管理权限，从而危及机器。”

SentinelOne在11月中旬首次向微软报告了这个漏洞，该公司于周二发布了一个补丁。微软将该漏洞评为“高风险”漏洞，尽管有一些重要的警告。只有当攻击者已经拥有远程或物理访问目标设备的权限时，该漏洞才会被利用。这意味着它不是黑客的一站式服务，在大多数攻击场景中需要与其他漏洞一起部署。但对于那些已经拥有访问权限的黑客来说，它仍然是一个有吸引力的目标。攻击者可以利用任何一台Windows电脑的漏洞，深入网络或受害者的设备，而不必首先获得特权用户帐户(比如管理员帐户)的访问权限。

SentinelOne和微软都同意，没有证据表明该漏洞在研究人员分析之前就被发现和利用了。SentinelOne拒绝透露攻击者将如何利用该漏洞，让微软的补丁有时间扩展。不过，现在研究结果已经公开，坏人找到利用的方法只是时间问题。一位微软发言人指出，任何安装了2月9日补丁或启用了自动更新功能的用户现在都受到了保护。

一个永恒

在主流操作系统的世界里，要隐藏一个严重的漏洞，十几年是很长的一段时间。研究人员说，沐鸣开户测速它可能在Windows中存在的时间更长，但他们的调查受到安全工具virstotal在防病毒产品上存储信息的时间限制。2009年，Windows Vista被当前的微软版本Windows 7取代。

研究人员推测，这个漏洞隐藏了这么长时间，是因为这个易受攻击的驱动程序没有像打印机驱动程序那样全天存储在电脑硬盘上。相反，它位于一个称为“动态链接库”的Windows系统中，Windows Defender只在需要时加载它。一旦驱动程序完成工作，它将再次从磁盘中删除。

“我们的研究团队注意到驱动程序是动态加载的，然后在不需要时删除，这不是常见的行为，”SentinelOne的Dekel说。“所以我们调查了一下。类似的漏洞可能存在于其他产品中，我们希望通过披露这些漏洞来帮助其他产品保持安全。”

历史上的漏洞偶尔也会出现，从20年之久的Mac调制解调器漏洞到10年之久的Avaya桌上电话僵尸漏洞。开发人员和安全研究人员不能每次都捕捉到所有信息。这在微软以前也发生过。例如，今年7月，该公司修补了一个有潜在危险的17年历史的Windows DNS漏洞。人生中有很多事情，迟做总比不做好。