Microsoft выпустила исправление для уязвимости Защитника Windows

2017-05-30 3972 комментарии
Microsoft выпустила патч для уязвимости удаленного исполнения кода в антивирусном движке (Malware Protection Engine), который используется различными инструментами безопасности, в том числе Центром безопасности Защитника Windows в Windows 10

Уязвимость была обнаружена 12 мая 2017 года исследователем проекта Project Zero от Google Тависом Орманди (Tavis Ormandy). Проблема заключалась в эмуляторе MsMpEng x86, который мог быть взломан киберпреступниками с помощью модифицированного исполняемого файла, который не выполнялся в песочнице.

Исследователь безопасности поясняет: “MsMpEng включает полный эмулятор системы x86, который используется для запуска неизвестных файлов, которые выглядят как переносимые исполняемые файлы (PE executables). Эмулятор запускается как NT AUTHORITY\SYSTEM и не виртуализируется в песочнице. При анализе списка поддерживаемых эмулятором win32 API было замечено, что многоцелевая функция управления вводом-выводом ntdll!NtControlChannel позволяет эмулируемому коду получать контроль на самим эмулятором”.

Тавис раскрыл технические подробности проблемы: “Команда 0x0C позволяет интерпретировать контролируемые атакующим лицом регулярные выражения для библиотеки Microsoft GRETA, поддержка которой была прекращена в начале 2000-х годов. Команда 0x12 позволяет загружать дополнительный “микрокод”, который может заменить коды операций. Различные команды позволяют изменять параметры выполнения, устанавливать и считывать атрибуты сканирования и метаданные UFS. В результате мы имеем дело с утечкой конфиденциальности, так как злоумышленник может запросить атрибуты исследования, которые вы установили, а затем извлечь результаты сканирования”.

“Очень неприятная уязвимость”

Орманди называет данную проблему безопасности “очень неприятной уязвимостью” и отмечает, что ее эксплуатация не является сложной в сравнении с уязвимостью, обнаруженной в начале мая и исправленной Microsoft за рекордное время.

С другой стороны, Microsoft была проинформирована об обнаруженной проблеме по приватным каналам. Редмонд выпустил исправление еще на прошлой неделе. Чтобы обеспечить защиты своих систем, включите автоматическое обновление и используйте Защитник Windows с новейшими вирусными определениями.

Данная ситуация еще раз демонстрирует, как критически важно использовать автоматические обновления системы. Microsoft начинает развертывание патчей и обновлений сразу после того, как они становятся доступны. Если автоматические обновления отключены, то установка обновления займет больше времени, что в некоторых случаях может быть критично, потому что хакеры постоянно ищут возможности для атаки.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?