A Microsoft csendben kijavítja a Windows Defender újabb "rendkívül rossz sebezhetőségét".

A Microsoft csendben kiadott egy újabb javítást a Windows Defender víruskereső motorjához, az MsMpEng kártevő-védelmi motorhoz.

Csakúgy, mint a utolsó „őrülten rossz” sebezhetőség, ezt is a Google Project Zero kutatója, Tavis Ormandy fedezte fel, de ezúttal privátban közölte a Microsofttal, ami azt mutatja, hogy a legutóbbi kritika, amelyet a nyilvánosságra hozatala miatt keltett, hatással volt rá.

A sérülékenység lehetővé tenné az MsMpEng emulátorában futtatott alkalmazások számára, hogy az emulátort vezéreljék, hogy mindenféle balhét elkövethessenek, beleértve a távoli kódfuttatást is, amikor a Windows Defender egy e-mailben küldött végrehajtható fájlt vizsgál.

„Az MsMpEng tartalmaz egy teljes rendszerű x86 emulátort, amely minden olyan nem megbízható fájlok végrehajtására szolgál, amelyek PE futtatható fájloknak tűnnek. Az emulátor NT AUTHORITY\SYSTEM néven fut, és nincs homokozóban. Az emulátor által támogatott win32 API-k listáját böngészve észrevettem az ntdll!NtControlChannel-t, egy ioctl-szerű rutint, amely lehetővé teszi, hogy emulált kód vezérelje az emulátort.

„Az emulátor feladata a kliens CPU-jának emulálása. De furcsa módon a Microsoft egy extra utasítást adott az emulátornak, amely lehetővé teszi az API-hívásokat. Nem világos, hogy a Microsoft miért hoz létre speciális utasításokat az emulátorhoz. Ha úgy gondolja, hogy ez őrülten hangzik, nem vagy egyedül” – írta.

„A 0x0C parancs lehetővé teszi tetszőleges támadók által vezérelt RegularExpressionok elemzését a Microsoft GRETA-ba (a 2000-es évek eleje óta elhagyott könyvtár)… A 0x12 parancs további „mikrokódot” tesz lehetővé, amely helyettesítheti az opkódokat… A különféle parancsok lehetővé teszik a végrehajtási paraméterek módosítását, a vizsgálat beállítását és olvasását. attribútumok és UFS metaadatok. Ez legalábbis adatvédelmi kiszivárgásnak tűnik, mivel a támadó lekérdezheti az Ön által beállított kutatási attribútumokat, majd lekérheti azokat a vizsgálat eredményeként” – írta Ormandy.

„Ez potenciálisan rendkívül rossz sérülékenység volt, de valószínűleg nem olyan könnyű kihasználni, mint a Microsoft korábbi nulladik napját, amelyet mindössze két hete javítottak ki” – mondta Udi Yavo, az enSilo társalapítója és technológiai igazgatója a Threatpostnak adott interjújában.

Yavo kritizálta a Microsoftot, amiért nem homokozóba helyezte a víruskereső motort.

"Az MsMpEng nincs homokozóban, ami azt jelenti, hogy ha ki tudod használni a sebezhetőséget, akkor vége a játéknak" - mondta Yavo.

A problémát május 12-én találta meg a Google Project Zero csapata, a javítást pedig a múlt héten küldte ki a Microsoft, amely nem tett közzé tájékoztatót. A motor rendszeresen automatikusan frissül, ami azt jelenti, hogy a legtöbb felhasználó már nem lesz sebezhető.

A Microsoftra egyre nagyobb nyomás nehezedik szoftvereik biztonságossá tétele érdekében, a vállalat fokozottabb együttműködést kér a kormányoktól, és a A digitális genfi ​​egyezmény a felhasználók biztonságának megőrzésében.