Microsoft korjaa hiljaa toisen "erittäin huonon haavoittuvuuden" Windows Defenderissä

Microsoft on hiljaa julkaissut toisen korjauksen Windows Defenderin virustarkistuskoneeseensa, MsMpEng-haittaohjelmien suojausmoottoriin.

Aivan kuten viimeinen "hullu huono" haavoittuvuus, tämän löysi myös Googlen Project Zero -tutkija Tavis Ormandy, mutta tällä kertaa hän paljasti sen yksityisesti Microsoftille, mikä osoittaa, että kritiikillä, jonka hän sai viimeksi julkisuudestaan, on ollut jonkin verran vaikutusta.

Haavoittuvuuden ansiosta MsMpEngin emulaattorissa suoritetut sovellukset voivat ohjata emulaattoria kaikenlaisten ilkiöiden aikaansaamiseksi, mukaan lukien koodin etäsuorittaminen, kun Windows Defender skannaa sähköpostilla lähetetyn suoritettavan tiedoston.

"MsMpEng sisältää täyden järjestelmän x86-emulaattorin, jota käytetään suorittamaan kaikki epäluotettavat tiedostot, jotka näyttävät PE-suoritustiedostoilta. Emulaattori toimii nimellä NT AUTHORITY\SYSTEM, eikä sitä ole hiekkalaatikolla. Selaillessani emulaattorin tukemien win32-sovellusliittymien luetteloa huomasin ntdll!NtControlChannelin, ioctl-tyyppisen rutiinin, jonka avulla emuloitu koodi ohjaa emulaattoria."

”Emulaattorin tehtävänä on emuloida asiakkaan suoritinta. Mutta omituisesti Microsoft on antanut emulaattorille ylimääräisen ohjeen, joka sallii API-kutsut. On epäselvää, miksi Microsoft luo erityisiä ohjeita emulaattorille. Jos luulet, että se kuulostaa hullulta, et ole yksin”, hän kirjoitti.

"Komento 0x0C mahdollistaa mielivaltaisten hyökkääjien ohjaamien RegularExpressioiden jäsentämisen Microsoft GRETAan (kirjasto, joka on hylätty 2000-luvun alusta lähtien)... Komento 0x12 mahdollistaa ylimääräisen "mikrokoodin", joka voi korvata opkoodeja... Erilaisten komentojen avulla voit muuttaa suoritusparametreja, asettaa ja lukea tarkistusta. attribuutit ja UFS-metatiedot. Tämä vaikuttaa ainakin tietosuojavuodolta, koska hyökkääjä voi tiedustella määrittämiäsi tutkimusattribuutteja ja sitten hakea ne skannaustuloksen kautta", Ormandy kirjoitti.

"Tämä oli mahdollisesti äärimmäisen huono haavoittuvuus, mutta sitä ei todennäköisesti ole niin helppo hyödyntää kuin Microsoftin aikaisempaa nollapäivää, joka korjattiin vain kaksi viikkoa sitten", sanoi Udi Yavo, enSilon perustaja ja teknologiajohtaja Threatpostin haastattelussa.

Yavo kritisoi Microsoftia siitä, ettei se ollut hiekkalaatikolla virustentorjuntamoottoria.

"MsMpEng ei ole hiekkalaatikko, eli jos voit hyödyntää siellä olevaa haavoittuvuutta, peli on ohi", Yavo sanoi.

Googlen Project Zero -tiimi löysi ongelman 12. toukokuuta, ja Microsoft lähetti viime viikolla korjauksen, joka ei ole julkaissut neuvoa. Moottori päivitetään säännöllisesti automaattisesti, mikä tarkoittaa, että useimpien käyttäjien ei pitäisi enää olla haavoittuvia.

Microsoftille kohdistuu lisääntyviä paineita suojata ohjelmistonsa, ja yritys pyytää hallituksilta suurempaa yhteistyötä ja luoda a Digital Geneven sopimus auttaa pitämään käyttäjät turvassa.