Η Microsoft επιδιορθώνει αθόρυβα μια άλλη "εξαιρετικά κακή ευπάθεια" στο Windows Defender

Η Microsoft έχει προωθήσει αθόρυβα μια άλλη επιδιόρθωση για τη μηχανή ανίχνευσης ιών στο Windows Defender, τη μηχανή προστασίας από κακόβουλο λογισμικό MsMpEng.

Ακριβώς όπως το τελευταία ευπάθεια "τρελό κακό"., αυτό ανακαλύφθηκε επίσης από τον ερευνητή του Google Project Zero, Tavis Ormandy, αλλά αυτή τη φορά το αποκάλυψε ιδιωτικά στη Microsoft, δείχνοντας ότι η κριτική που άσκησε την τελευταία φορά για τη δημόσια αποκάλυψή του είχε κάποιο αποτέλεσμα.

Η ευπάθεια θα επέτρεπε στις εφαρμογές που εκτελούνται στον εξομοιωτή του MsMpEng να ελέγχουν τον εξομοιωτή για να επιτύχουν κάθε είδους κακό, συμπεριλαμβανομένης της απομακρυσμένης εκτέλεσης κώδικα όταν το Windows Defender σάρωνε ένα εκτελέσιμο αρχείο που αποστέλλεται μέσω email.

"Το MsMpEng περιλαμβάνει έναν εξομοιωτή πλήρους συστήματος x86 που χρησιμοποιείται για την εκτέλεση τυχόν μη αξιόπιστων αρχείων που μοιάζουν με εκτελέσιμα PE. Ο εξομοιωτής εκτελείται ως NT AUTHORITY\SYSTEM και δεν βρίσκεται σε sandbox. Περιηγώντας τη λίστα των win32 API που υποστηρίζει ο εξομοιωτής, παρατήρησα το ntdll!NtControlChannel, μια ρουτίνα τύπου ioctl που επιτρέπει στον εξομοιωμένο κώδικα να ελέγχει τον εξομοιωτή."

«Η δουλειά του εξομοιωτή είναι να μιμείται την CPU του πελάτη. Όμως, παραδόξως η Microsoft έδωσε στον εξομοιωτή μια επιπλέον οδηγία που επιτρέπει κλήσεις API. Δεν είναι σαφές γιατί η Microsoft δημιουργεί ειδικές οδηγίες για τον εξομοιωτή. Αν νομίζετε ότι αυτό ακούγεται τρελό, δεν είστε μόνοι», έγραψε.

"Η εντολή 0x0C σάς επιτρέπει να αναλύετε RegularExpressions ελεγχόμενες από αυθαίρετους εισβολείς στη Microsoft GRETA (μια βιβλιοθήκη που εγκαταλείφθηκε από τις αρχές της δεκαετίας του 2000)... Η εντολή 0x12 επιτρέπει πρόσθετο "μικροκώδικα" που μπορεί να αντικαταστήσει τους κωδικούς λειτουργίας... Διάφορες εντολές σας επιτρέπουν να αλλάξετε παραμέτρους εκτέλεσης, να ορίσετε και να διαβάσετε σάρωση χαρακτηριστικά και μεταδεδομένα UFS. Αυτό φαίνεται τουλάχιστον σαν διαρροή απορρήτου, καθώς ένας εισβολέας μπορεί να ρωτήσει τα ερευνητικά χαρακτηριστικά που έχετε ορίσει και στη συνέχεια να τα ανακτήσει μέσω του αποτελέσματος σάρωσης», έγραψε ο Ormandy.

«Αυτό ήταν δυνητικά μια εξαιρετικά κακή ευπάθεια, αλλά πιθανώς όχι τόσο εύκολη στην εκμετάλλευση όσο η προηγούμενη zero day της Microsoft, που διορθώθηκε μόλις πριν από δύο εβδομάδες», δήλωσε ο Udi Yavo, συνιδρυτής και CTO της enSilo, σε μια συνέντευξη στο Threatpost.

Ο Yavo επέκρινε τη Microsoft επειδή δεν έκανε sandbox στη μηχανή προστασίας από ιούς.

"Το MsMpEng δεν είναι sandboxed, που σημαίνει ότι αν μπορείτε να εκμεταλλευτείτε μια ευπάθεια εκεί, το παιχνίδι έχει τελειώσει", είπε ο Yavo.

Το ζήτημα εντοπίστηκε στις 12 Μαΐου από την ομάδα του Project Zero της Google και η επιδιόρθωση εστάλη την περασμένη εβδομάδα από τη Microsoft, η οποία δεν έχει δημοσιεύσει συμβουλευτική. Ο κινητήρας ενημερώνεται τακτικά αυτόματα, πράγμα που σημαίνει ότι οι περισσότεροι χρήστες δεν θα πρέπει να είναι πλέον ευάλωτοι.

Η Microsoft δέχεται αυξανόμενες πιέσεις να εξασφαλίσει το λογισμικό της, με την εταιρεία να ζητά μεγαλύτερη συνεργασία από τις κυβερνήσεις και να δημιουργήσει ένα Ψηφιακή Σύμβαση της Γενεύης για τη διατήρηση της ασφάλειας των χρηστών.