Microsoft retter stille og roligt en anden "ekstremt dårlig sårbarhed" i Windows Defender
3 min. Læs
Udgivet den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Microsoft har stille og roligt skubbet en anden rettelse ud til deres virusscanningsmotor i Windows Defender, MsMpEng-malwarebeskyttelsesmotoren.
Ligesom sidste "vanvittig dårlig" sårbarhed, denne blev også opdaget af Googles Project Zero-forsker Tavis Ormandy, men denne gang afslørede han det privat til Microsoft, hvilket viste, at den kritik, han tiltrak sidste gang for hans offentlige afsløring, har haft en vis effekt.
Sårbarheden ville gøre det muligt for applikationer, der udføres i MsMpEngs emulator, at styre emulatoren for at opnå alle former for ballade, inklusive fjernudførelse af kode, når Windows Defender scannede en eksekverbar fil sendt via e-mail.
"MsMpEng inkluderer en komplet system x86-emulator, der bruges til at udføre upålidelige filer, der ligner PE-eksekverbare filer. Emulatoren kører som NT AUTHORITY\SYSTEM og er ikke sandboxed. Ved at gennemse listen over win32 API'er, som emulatoren understøtter, bemærkede jeg ntdll!NtControlChannel, en ioctl-lignende rutine, der tillader emuleret kode at styre emulatoren."
"Emulatorens opgave er at efterligne klientens CPU. Men mærkeligt nok har Microsoft givet emulatoren en ekstra instruktion, der tillader API-kald. Det er uklart, hvorfor Microsoft opretter særlige instruktioner til emulatoren. Hvis du synes, det lyder skørt, er du ikke alene,” skrev han.
"Kommando 0x0C giver dig mulighed for at parse vilkårlige angriber-kontrollerede RegularExpressions til Microsoft GRETA (et bibliotek, der er forladt siden begyndelsen af 2000'erne)... Kommando 0x12 tillader yderligere "mikrokode", der kan erstatte opkoder... Forskellige kommandoer giver dig mulighed for at ændre udførelsesparametre, indstille og læse scanning attributter og UFS-metadata. Dette virker i det mindste som et privatlivslæk, da en angriber kan forespørge på de forskningsegenskaber, du har indstillet, og derefter hente det via scanningsresultat, skrev Ormandy.
"Dette var potentielt en ekstremt dårlig sårbarhed, men sandsynligvis ikke så let at udnytte som Microsofts tidligere nuldag, der blev rettet for blot to uger siden," sagde Udi Yavo, medstifter og CTO for enSilo, i et interview med Threatpost.
Yavo kritiserede Microsoft for ikke at sandboxe antivirusmotoren.
"MsMpEng er ikke sandboxed, hvilket betyder, at hvis du kan udnytte en sårbarhed der, er det game over," sagde Yavo.
Problemet blev fundet den 12. maj af Googles Project Zero-team, og rettelsen blev sendt ud i sidste uge af Microsoft, som ikke har sendt en meddelelse. Motoren opdateres automatisk automatisk, hvilket betyder, at de fleste brugere ikke længere bør være sårbare.
Microsoft kommer under stigende pres for at sikre deres software, og virksomheden beder om større samarbejde fra regeringer og om at skabe en Digital Genève-konvention for at hjælpe med at holde brugere sikre.
