Microsoft korjaa "hullun huonon" Windows Defender -haavoittuvuuden

Microsoft on toiminut nopeasti murskatakseen "hullu huono" Windowsin haavoittuvuus Googlen tietoturvatutkija Tavis Ormandy twiittasi noin 3 päivää sitten.

Ongelma osoittautui ongelmaksi Windows Defenderissä, joka oli alttiina vioittumiselle automaattisesti, kun se suoritti tehtävänsä skannaamalla sähköpostisi muuttuen suojelijasta hyökkääjäksi.

Microsoft kirjoittaa neuvonnassaan:

Microsoft julkaisee tämän tietoturva-ilmoituksen ilmoittaakseen asiakkaille, että Microsoftin haittaohjelmien suojausmoottorin päivitys korjaa Microsoftille raportoidun tietoturva-aukon. Päivitys korjaa haavoittuvuuden, joka saattaa sallia koodin suorittamisen etäyhteyden kautta, jos Microsoftin haittaohjelmien suojausmoottori tarkistaa erityisesti muodostetun tiedoston. Tätä haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä voi suorittaa mielivaltaisen koodin LocalSystem-tilin suojauskontekstissa ja ottaa järjestelmän hallintaansa.

Microsoftin haittaohjelmien suojausmoottorin mukana toimitetaan useita Microsoftin haittaohjelmien torjuntatuotteita. Katso ohjelmistot, joita asia koskee, luettelo tuotteista, joita asia koskee. Microsoft Malware Protection Enginen päivitykset asennetaan sekä päivitetyt haittaohjelmamääritykset kyseisille tuotteille. Yritysasennusten järjestelmänvalvojien tulee noudattaa vakiintuneita sisäisiä prosessejaan varmistaakseen, että määritelmät ja moottorin päivitykset hyväksytään heidän päivityshallintaohjelmistossaan ja että asiakkaat käyttävät päivitykset vastaavasti.

Tavallisesti yritysten järjestelmänvalvojien tai loppukäyttäjien ei vaadita toimenpiteitä Microsoftin haittaohjelmien suojausmoottorin päivitysten asentamiseksi, koska sisäänrakennettu mekanismi päivitysten automaattista havaitsemista ja käyttöönottoa varten ottaa päivityksen käyttöön 48 tunnin kuluessa julkaisusta. Tarkka aikaväli riippuu käytetystä ohjelmistosta, Internet-yhteydestä ja infrastruktuurin kokoonpanosta.

Kuten Ormandy varoitti, hyväksikäyttö voidaan lähettää PC:ltä PC:lle sähköpostitse ja se voi hyödyntää PC:tä ilman, että käyttäjä edes avaa sähköpostiviestiä, mikä tarkoittaa, että jos paikkaa ei korjata, se voi levitä kulovalkean tavoin.

Windows Defenderin nykyinen versio on 1.1.13701.0, ja Microsoft julkaisee uuden version 1.1.13704.0, joka korjaa haavoittuvuuden. Koska tämä vaikuttaa Microsoftin haittaohjelmien torjuntaan, se ei vaikuta vain Windows Defenderiin (Windows 7 - Windows 10), vaan myös Microsoft Forefront Endpoint Protection 2010:een, Microsoft Forefront Security for SharePoint Service Pack 3:een, Microsoft System Center Endpoint Protectioniin, Microsoft Security Essentialsiin. ja Windows Intune Endpoint Protection oli haavoittuvainen.

Päivityksen pitäisi saapua kaikkiin laitteisiin 48 tunnin kuluessa.

Lue lisää aiheesta Technetissä täällä.