مایکروسافت بی سر و صدا یک "آسیب پذیری بسیار بد" دیگر را در Windows Defender برطرف می کند

مایکروسافت بی سر و صدا راه حل دیگری را برای موتور اسکن ویروس خود در Windows Defender ارائه کرده است، موتور محافظت از بدافزار MsMpEng.

درست مثل آخرین آسیب پذیری «دیوانه بد».، این مورد نیز توسط Tavis Ormandy، محقق پروژه صفر گوگل کشف شد، اما این بار او آن را به طور خصوصی به مایکروسافت فاش کرد و نشان داد که انتقاداتی که دفعه قبل برای افشای عمومی خود داشت، تا حدی تأثیر داشته است.

این آسیب‌پذیری به برنامه‌های اجرا شده در شبیه‌ساز MsMpEng اجازه می‌دهد تا شبیه‌ساز را برای دستیابی به انواع خرابی‌ها، از جمله اجرای کد از راه دور، زمانی که Windows Defender یک فایل اجرایی ارسال شده از طریق ایمیل را اسکن می‌کند، کنترل کنند.

MsMpEng شامل یک شبیه ساز سیستم کامل x86 است که برای اجرای فایل های نامعتبر که شبیه فایل های اجرایی PE هستند استفاده می شود. شبیه‌ساز به‌عنوان NT AUTHORITY\SYSTEM اجرا می‌شود و سندباکس نیست. با مرور لیست API های win32 که شبیه ساز پشتیبانی می کند، متوجه ntdll!NtControlChannel شدم، یک روال شبیه ioctl که به کدهای شبیه سازی شده اجازه می دهد تا شبیه ساز را کنترل کنند.

"وظیفه شبیه ساز تقلید از CPU مشتری است. اما به طرز عجیبی مایکروسافت به شبیه ساز دستورالعمل اضافی داده است که امکان تماس های API را فراهم می کند. مشخص نیست چرا مایکروسافت دستورالعمل های ویژه ای را برای شبیه ساز ایجاد می کند. اگر فکر می کنید که دیوانه کننده به نظر می رسد، تنها نیستید.

"فرمان 0x0C به شما امکان می دهد RegularExpressions کنترل شده توسط مهاجمان دلخواه را به مایکروسافت GRETA (کتابخانه ای که از اوایل دهه 2000 متروکه شد) تجزیه کنید... فرمان 0x12 به "میکروکد" اضافی اجازه می دهد که بتواند کدهای عملیاتی را جایگزین کند... دستورات مختلف به شما امکان می دهد پارامترهای اجرا را تغییر دهید، تنظیم کنید و اسکن کنید. ویژگی ها و فراداده UFS به نظر می رسد حداقل یک نشت حریم خصوصی است، زیرا یک مهاجم می تواند ویژگی های تحقیقاتی را که تنظیم کرده اید جستجو کند و سپس آن را از طریق نتیجه اسکن بازیابی کند.

Udi Yavo، یکی از بنیانگذاران و CTO enSilo، در مصاحبه ای با Threatpost گفت: «این یک آسیب پذیری بالقوه بسیار بد بود، اما احتمالاً به آسانی مورد سوء استفاده مایکروسافت که دو هفته پیش اصلاح شد، نیست.

یاوو از مایکروسافت به دلیل عدم استفاده از سندباکس موتور آنتی ویروس انتقاد کرد.

Yavo گفت: "MsMpEng sandboxed نیست، به این معنی که اگر بتوانید از یک آسیب پذیری در آنجا سوء استفاده کنید، بازی تمام شده است."

این مشکل در 12 می توسط تیم Project Zero گوگل پیدا شد، و این مشکل هفته گذشته توسط مایکروسافت ارسال شد که هیچ توصیه‌ای ارسال نکرده بودند. موتور به طور مرتب به طور خودکار به روز می شود، به این معنی که بیشتر کاربران دیگر نباید آسیب پذیر باشند.

مایکروسافت تحت فشار فزاینده ای برای ایمن سازی نرم افزار خود قرار گرفته است، به طوری که این شرکت از دولت ها درخواست همکاری بیشتر و ایجاد یک نرم افزار می کند کنوانسیون ژنو دیجیتال برای کمک به حفظ امنیت کاربران.