Microsoft tiho popravlja još jednu "iznimno lošu ranjivost" u Windows Defenderu
3 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Microsoft je tiho izbacio još jedan popravak za svoj mehanizam za skeniranje virusa u Windows Defenderu, MsMpEng mehanizam za zaštitu od zlonamjernog softvera.
Baš kao i posljednja "ludo loša" ranjivost, ovaj je također otkrio Googleov istraživač Project Zero Tavis Ormandy, ali ovaj put ga je privatno otkrio Microsoftu, pokazujući da su kritike koje je privukao prošli put zbog svog javnog otkrivanja imale određeni učinak.
Ranjivost bi omogućila aplikacijama koje se izvršavaju u emulatoru MsMpEng da kontroliraju emulator kako bi postigle sve vrste nestašluka, uključujući daljinsko izvršavanje koda kada je Windows Defender skenirao izvršnu datoteku poslanu e-poštom.
“MsMpEng uključuje kompletan sustav x86 emulator koji se koristi za izvršavanje svih nepouzdanih datoteka koje izgledaju kao PE izvršne datoteke. Emulator radi kao NT AUTHORITY\SYSTEM i nije zaštićen. Pregledavajući popis win32 API-ja koje podržava emulator, primijetio sam ntdll!NtControlChannel, rutinu nalik ioctl-u koja omogućuje emuliranom kodu da kontrolira emulator.”
“Posao emulatora je emulirati klijentov CPU. No, čudno je da je Microsoft emulatoru dao dodatnu instrukciju koja omogućuje API pozive. Nejasno je zašto Microsoft stvara posebne upute za emulator. Ako mislite da to zvuči ludo, niste sami”, napisao je.
“Naredba 0x0C vam omogućuje da analizirate RegularExpressions kontrolirane proizvoljnim napadačem u Microsoft GRETA (biblioteku napuštenu od ranih 2000-ih)... Naredba 0x12 omogućuje dodatni “mikrokod” koji može zamijeniti operacijske kodove... Različite naredbe omogućuju vam promjenu parametara izvršenja, postavljanje i čitanje skeniranja atribute i UFS metapodatke. Ovo se barem čini kao curenje privatnosti, jer napadač može upitati atribute istraživanja koje ste postavili i zatim ih dohvatiti putem rezultata skeniranja”, napisao je Ormandy.
“Ovo je potencijalno bila iznimno loša ranjivost, ali vjerojatno nije tako lako iskoristiti kao Microsoftov raniji nulti dan, zakrpljen prije samo dva tjedna,” rekao je Udi Yavo, suosnivač i CTO EnSilo, u intervjuu za Threatpost.
Yavo je kritizirao Microsoft jer ne koristi antivirusni mehanizam.
"MsMpEng nije zaštićen, što znači da ako možete iskoristiti ranjivost tamo je igra gotova", rekao je Yavo.
Problem je 12. svibnja pronašao Googleov tim za Project Zero, a popravak je prošlog tjedna poslao Microsoft, koji nije objavio upozorenje. Motor se redovito automatski ažurira, što znači da većina korisnika više ne bi trebala biti ranjiva.
Microsoft je pod sve većim pritiskom da osigura svoj softver, a tvrtka traži veću suradnju od vlada i stvaranje Digitalna Ženevska konvencija za zaštitu korisnika.
