Уязвимость была обнаружена 12 мая 2017 года исследователем проекта Project Zero от Google Тависом Орманди (Tavis Ormandy). Проблема заключалась в эмуляторе MsMpEng x86, который мог быть взломан киберпреступниками с помощью модифицированного исполняемого файла, который не выполнялся в песочнице.
Исследователь безопасности поясняет: “MsMpEng включает полный эмулятор системы x86, который используется для запуска неизвестных файлов, которые выглядят как переносимые исполняемые файлы (PE executables). Эмулятор запускается как NT AUTHORITY\SYSTEM и не виртуализируется в песочнице. При анализе списка поддерживаемых эмулятором win32 API было замечено, что многоцелевая функция управления вводом-выводом ntdll!NtControlChannel позволяет эмулируемому коду получать контроль на самим эмулятором”.
Тавис раскрыл технические подробности проблемы: “Команда 0x0C позволяет интерпретировать контролируемые атакующим лицом регулярные выражения для библиотеки Microsoft GRETA, поддержка которой была прекращена в начале 2000-х годов. Команда 0x12 позволяет загружать дополнительный “микрокод”, который может заменить коды операций. Различные команды позволяют изменять параметры выполнения, устанавливать и считывать атрибуты сканирования и метаданные UFS. В результате мы имеем дело с утечкой конфиденциальности, так как злоумышленник может запросить атрибуты исследования, которые вы установили, а затем извлечь результаты сканирования”.
“Очень неприятная уязвимость”
Орманди называет данную проблему безопасности “очень неприятной уязвимостью” и отмечает, что ее эксплуатация не является сложной в сравнении с уязвимостью, обнаруженной в начале мая и исправленной Microsoft за рекордное время.
С другой стороны, Microsoft была проинформирована об обнаруженной проблеме по приватным каналам. Редмонд выпустил исправление еще на прошлой неделе. Чтобы обеспечить защиты своих систем, включите автоматическое обновление и используйте Защитник Windows с новейшими вирусными определениями.
Данная ситуация еще раз демонстрирует, как критически важно использовать автоматические обновления системы. Microsoft начинает развертывание патчей и обновлений сразу после того, как они становятся доступны. Если автоматические обновления отключены, то установка обновления займет больше времени, что в некоторых случаях может быть критично, потому что хакеры постоянно ищут возможности для атаки.
Угрозы безопасности
• Доверяете бесплатным VPN? Утекли данные 21 миллиона пользователей VPN-сервисов
• Популярное приложение Android поставляло вредоносное содержимое миллионам пользователей
• Повторные взломы форума IObit: Злоумышленники решили поиздеваться
• Malwarebytes был взломан хакерами, которые атаковали SolarWinds
• Форум IObit взломан с целью распространения вредоносного ПО
• Баг? Нет. Telegram раскрывает точное местоположение своих пользователей