Microsoft behebt stillschweigend eine weitere „extrem schlimme Sicherheitslücke“ im Windows Defender

Microsoft hat in aller Stille einen weiteren Fix für seine Virenscan-Engine in Windows Defender, der MsMpEng-Malware-Schutz-Engine, herausgebracht.

Genau wie die letzte „crazy bad“ Schwachstelle, dieser wurde auch von Googles Project Zero-Forscher Tavis Ormandy entdeckt, aber dieses Mal gab er ihn privat an Microsoft weiter, was zeigt, dass die Kritik, die er beim letzten Mal für seine öffentliche Offenlegung auf sich zog, eine gewisse Wirkung hatte.

Die Schwachstelle würde es Anwendungen ermöglichen, die im Emulator von MsMpEng ausgeführt werden, den Emulator zu steuern, um alle Arten von Unheil zu erzielen, einschließlich der Remote-Code-Ausführung, wenn Windows Defender eine per E-Mail gesendete ausführbare Datei scannt.

„MsMpEng enthält einen vollständigen System-x86-Emulator, der verwendet wird, um alle nicht vertrauenswürdigen Dateien auszuführen, die wie ausführbare PE-Dateien aussehen. Der Emulator wird als NT AUTHORITY\SYSTEM ausgeführt und ist nicht in einer Sandbox untergebracht. Beim Durchsuchen der Liste der Win32-APIs, die der Emulator unterstützt, ist mir ntdll!NtControlChannel aufgefallen, eine ioctl-ähnliche Routine, die es emuliertem Code ermöglicht, den Emulator zu steuern.“

„Die Aufgabe des Emulators besteht darin, die CPU des Clients zu emulieren. Aber seltsamerweise hat Microsoft dem Emulator eine zusätzliche Anweisung gegeben, die API-Aufrufe erlaubt. Es ist unklar, warum Microsoft spezielle Anweisungen für den Emulator erstellt. Wenn Sie denken, dass das verrückt klingt, sind Sie nicht allein“, schrieb er.

„Befehl 0x0C ermöglicht es Ihnen, von willkürlichen Angreifern kontrollierte RegularExpressions in Microsoft GRETA (eine Bibliothek, die seit den frühen 2000er Jahren aufgegeben wurde) zu analysieren… Befehl 0x12 ermöglicht zusätzlichen „Mikrocode“, der Opcodes ersetzen kann… Verschiedene Befehle ermöglichen es Ihnen, Ausführungsparameter zu ändern, Scans einzustellen und zu lesen Attribute und UFS-Metadaten. Dies scheint zumindest ein Datenschutzleck zu sein, da ein Angreifer die von Ihnen festgelegten Forschungsattribute abfragen und dann über das Scanergebnis abrufen kann“, schrieb Ormandy.

„Dies war möglicherweise eine extrem schlimme Schwachstelle, aber wahrscheinlich nicht so einfach auszunutzen wie Microsofts früherer Zero Day, der erst vor zwei Wochen gepatcht wurde“, sagte Udi Yavo, Mitbegründer und CTO von enSilo, in einem Interview mit Threatpost.

Yavo kritisierte Microsoft dafür, die Antiviren-Engine nicht in eine Sandbox zu integrieren.

„MsMpEng wird nicht in einer Sandbox betrieben, was bedeutet, dass das Spiel vorbei ist, wenn Sie dort eine Schwachstelle ausnutzen können“, sagte Yavo.

Das Problem wurde am 12. Mai vom Project Zero-Team von Google gefunden, und der Fix wurde letzte Woche von Microsoft verschickt, die keine Empfehlung veröffentlicht haben. Die Engine wird regelmäßig automatisch aktualisiert, was bedeutet, dass die meisten Benutzer nicht mehr anfällig sein sollten.

Microsoft gerät zunehmend unter Druck, seine Software zu sichern, wobei das Unternehmen Regierungen um eine stärkere Zusammenarbeit und die Schaffung einer Digitale Genfer Konvention zum Schutz der Benutzer.