Microsoft retter "vanvittig dårlig" Windows Defender-sårbarhed
2 min. Læs
Udgivet den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Microsoft har handlet hurtigt for at squash "vanvittig dårlig" Windows-sårbarhed Google-sikkerhedsforsker Tavis Ormandy tweetede omkring 3 dage siden.
Problemet viste sig at være et problem med Windows Defender, som var sårbart over for at blive beskadiget automatisk, da det gjorde sin pligt ved at scanne din e-mail og forvandlede sig fra en beskytter til angriberen.
I deres rådgivning skriver Microsoft:
Microsoft udgiver denne sikkerhedsmeddelelse for at informere kunderne om, at en opdatering til Microsoft Malware Protection Engine løser en sikkerhedssårbarhed, der blev rapporteret til Microsoft. Opdateringen adresserer en sårbarhed, der kan tillade fjernudførelse af kode, hvis Microsoft Malware Protection Engine scanner en specielt udformet fil. En angriber, der med succes udnyttede denne sårbarhed, kunne udføre vilkårlig kode i sikkerhedskonteksten for LocalSystem-kontoen og tage kontrol over systemet.
Microsoft Malware Protection Engine leveres med flere Microsoft antimalware-produkter. Se afsnittet om berørt software for en liste over berørte produkter. Opdateringer til Microsoft Malware Protection Engine installeres sammen med de opdaterede malwaredefinitioner for de berørte produkter. Administratorer af virksomhedsinstallationer bør følge deres etablerede interne processer for at sikre, at definitionen og motoropdateringerne er godkendt i deres opdateringsstyringssoftware, og at kunderne bruger opdateringerne i overensstemmelse hermed.
Typisk kræves der ingen handling af virksomhedsadministratorer eller slutbrugere for at installere opdateringer til Microsoft Malware Protection Engine, fordi den indbyggede mekanisme til automatisk registrering og implementering af opdateringer vil anvende opdateringen inden for 48 timer efter udgivelsen. Den nøjagtige tidsramme afhænger af den anvendte software, internetforbindelse og infrastrukturkonfiguration.
Som Ormandy advarede om, kunne udnyttelsen sendes fra pc til pc via e-mail og kunne udnytte en pc, uden at brugeren selv åbnede e-mailen, hvilket betyder, at hvis den ikke er patchet, kan den spredes som en steppebrand.
Den nuværende version af Windows Defender er 1.1.13701.0, hvor Microsoft skubber en ny version 1.1.13704.0 ud, som adresserer sårbarheden. Fordi Microsofts anti-malware-motor er påvirket, er ikke kun Windows Defender (fra Windows 7 til Windows 10) påvirket, men også Microsoft Forefront Endpoint Protection 2010, Microsoft Forefront Security til SharePoint Service Pack 3, Microsoft System Center Endpoint Protection, Microsoft Security Essentials og Windows Intune Endpoint Protection var sårbar.
Opdateringen bør nå alle berørte enheder inden for 48 timer.
Læs mere om emnet hos Technet her.
