Уязвимость была обнаружена 12 мая 2017 года исследователем проекта Project Zero от Google Тависом Орманди (Tavis Ormandy). Проблема заключалась в эмуляторе MsMpEng x86, который мог быть взломан киберпреступниками с помощью модифицированного исполняемого файла, который не выполнялся в песочнице.
Исследователь безопасности поясняет: “MsMpEng включает полный эмулятор системы x86, который используется для запуска неизвестных файлов, которые выглядят как переносимые исполняемые файлы (PE executables). Эмулятор запускается как NT AUTHORITY\SYSTEM и не виртуализируется в песочнице. При анализе списка поддерживаемых эмулятором win32 API было замечено, что многоцелевая функция управления вводом-выводом ntdll!NtControlChannel позволяет эмулируемому коду получать контроль на самим эмулятором”.
Тавис раскрыл технические подробности проблемы: “Команда 0x0C позволяет интерпретировать контролируемые атакующим лицом регулярные выражения для библиотеки Microsoft GRETA, поддержка которой была прекращена в начале 2000-х годов. Команда 0x12 позволяет загружать дополнительный “микрокод”, который может заменить коды операций. Различные команды позволяют изменять параметры выполнения, устанавливать и считывать атрибуты сканирования и метаданные UFS. В результате мы имеем дело с утечкой конфиденциальности, так как злоумышленник может запросить атрибуты исследования, которые вы установили, а затем извлечь результаты сканирования”.
“Очень неприятная уязвимость”
Орманди называет данную проблему безопасности “очень неприятной уязвимостью” и отмечает, что ее эксплуатация не является сложной в сравнении с уязвимостью, обнаруженной в начале мая и исправленной Microsoft за рекордное время.
С другой стороны, Microsoft была проинформирована об обнаруженной проблеме по приватным каналам. Редмонд выпустил исправление еще на прошлой неделе. Чтобы обеспечить защиты своих систем, включите автоматическое обновление и используйте Защитник Windows с новейшими вирусными определениями.
Данная ситуация еще раз демонстрирует, как критически важно использовать автоматические обновления системы. Microsoft начинает развертывание патчей и обновлений сразу после того, как они становятся доступны. Если автоматические обновления отключены, то установка обновления займет больше времени, что в некоторых случаях может быть критично, потому что хакеры постоянно ищут возможности для атаки.
Угрозы безопасности
• Исследователи раскрыли сеть вредоносных расширений для Firefox
• 2,3 миллиона установок: 18 расширений для Chrome и Edge содержали вредоносный код
• Почтовый клиент Evolution для Linux сливает данные — даже при включенных настройках защиты
• Фальшивый переустановщик Windows требует оплату для разблокировки
• Поддельные криптокошельки массово проникают в магазин Firefox Add-ons и крадут средства пользователей
• «Доктор Веб»: Во II квартале 2025 года выросло число атак банковских троянов и целевых шпионов для Android