Microsoft v tichosti opravuje další „extrémně špatnou zranitelnost“ v programu Windows Defender
3 min. číst
Publikované dne
Sdílejte tento článek
Vylepšete tuto příručku
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Společnost Microsoft v tichosti vydala další opravu pro svůj antivirový modul v programu Windows Defender, modul ochrany proti malwaru MsMpEng.
Stejně jako poslední „šíleně špatná“ zranitelnost, tento byl také objeven výzkumným pracovníkem Google Project Zero Tavisem Ormandym, ale tentokrát to soukromě prozradil Microsoftu, čímž ukázal, že kritika, kterou minule vyvolal za jeho zveřejnění, měla určitý účinek.
Tato chyba zabezpečení by umožnila aplikacím spuštěným v emulátoru MsMpEng ovládat emulátor, aby dosáhly všech druhů neplechu, včetně vzdáleného spuštění kódu, když program Windows Defender naskenoval spustitelný soubor zaslaný e-mailem.
„MsMpEng obsahuje úplný systémový emulátor x86, který se používá ke spouštění všech nedůvěryhodných souborů, které vypadají jako spustitelné soubory PE. Emulátor běží jako NT AUTHORITY\SYSTEM a není v sandboxu. Při procházení seznamu Win32 API, které emulátor podporuje, jsem si všiml ntdll!NtControlChannel, rutiny podobné ioctl, která umožňuje emulovanému kódu ovládat emulátor.“
„Úkolem emulátoru je emulovat CPU klienta. Ale kupodivu Microsoft dal emulátoru další instrukce, které umožňují volání API. Není jasné, proč Microsoft vytváří speciální instrukce pro emulátor. Pokud si myslíte, že to zní šíleně, nejste sami,“ napsal.
„Příkaz 0x0C vám umožňuje analyzovat RegularExpressions ovládané libovolným útočníkem do Microsoft GRETA (knihovna opuštěná od počátku roku 2000)… Příkaz 0x12 umožňuje další „mikrokód“, který může nahradit operační kódy… Různé příkazy vám umožňují měnit parametry provádění, nastavovat a číst skenování atributy a metadata UFS. Přinejmenším to vypadá jako únik soukromí, protože útočník se může dotazovat na atributy výzkumu, které jste nastavili, a poté je získat prostřednictvím výsledku skenování,“ napsal Ormandy.
"Byla to potenciálně extrémně špatná zranitelnost, ale pravděpodobně nebude tak snadné ji zneužít jako dřívější zero day od Microsoftu, opravené před dvěma týdny," řekl Udi Yavo, spoluzakladatel a technický ředitel enSilo, v rozhovoru pro Threatpost.
Yavo kritizoval Microsoft za to, že neizoloval antivirový modul.
"MsMpEng není sandboxed, což znamená, že pokud tam můžete zneužít zranitelnost, je konec hry," řekl Yavo.
Problém byl zjištěn 12. května týmem projektu Google Project Zero a oprava byla minulý týden odeslána společností Microsoft, která nezveřejnila žádné upozornění. Motor je pravidelně automaticky aktualizován, což znamená, že většina uživatelů by již neměla být zranitelná.
Microsoft se dostává pod rostoucí tlak na zabezpečení jejich softwaru, přičemž společnost žádá vlády o větší spolupráci a vytvoření a Digitální Ženevská úmluva, která pomáhá udržet uživatele v bezpečí.
