Microsoft diam-diam memperbaiki “kerentanan yang sangat buruk” lainnya di Windows Defender

Microsoft diam-diam mendorong perbaikan lain untuk mesin pemindai virus mereka di Windows Defender, mesin perlindungan malware MsMpEng.

Sama seperti kerentanan "sangat buruk" terakhir, yang satu ini juga ditemukan oleh peneliti Project Zero Google Tavis Ormandy, tetapi kali ini dia mengungkapkannya secara pribadi kepada Microsoft, menunjukkan kritik yang dia tarik terakhir kali karena pengungkapan publiknya telah berdampak.

Kerentanan akan memungkinkan aplikasi yang dijalankan di emulator MsMpEng untuk mengontrol emulator untuk mencapai semua jenis kerusakan, termasuk eksekusi kode jarak jauh saat Windows Defender memindai file yang dapat dieksekusi yang dikirim melalui email.

“MsMpEng menyertakan emulator x86 sistem lengkap yang digunakan untuk mengeksekusi file tidak tepercaya yang terlihat seperti PE yang dapat dieksekusi. Emulator berjalan sebagai NT AUTHORITY\SYSTEM dan tidak di-sandbox. Menelusuri daftar win32 API yang didukung emulator, saya melihat ntdll!NtControlChannel, rutinitas seperti ioctl yang memungkinkan kode yang diemulasi untuk mengontrol emulator.”

“Pekerjaan emulator adalah meniru CPU klien. Tapi, anehnya Microsoft telah memberikan emulator instruksi tambahan yang memungkinkan panggilan API. Tidak jelas mengapa Microsoft membuat instruksi khusus untuk emulator. Jika Anda berpikir itu terdengar gila, Anda tidak sendirian,” tulisnya.

“Command 0x0C memungkinkan Anda untuk mengurai RegularExpressions yang dikendalikan penyerang sewenang-wenang ke Microsoft GRETA (perpustakaan yang ditinggalkan sejak awal 2000-an)… Command 0x12 memungkinkan “microcode” tambahan yang dapat menggantikan opcode… Berbagai perintah memungkinkan Anda untuk mengubah parameter eksekusi, mengatur dan membaca pemindaian atribut dan metadata UFS. Ini sepertinya kebocoran privasi setidaknya, karena penyerang dapat menanyakan atribut penelitian yang Anda tetapkan dan kemudian mengambilnya melalui hasil pemindaian, ”tulis Ormandy.

“Ini berpotensi kerentanan yang sangat buruk, tetapi mungkin tidak mudah untuk dieksploitasi seperti zero day Microsoft sebelumnya, yang baru saja ditambal dua minggu lalu,” kata Udi Yavo, salah satu pendiri dan CTO enSilo, dalam sebuah wawancara dengan Threatpost.

Yavo mengkritik Microsoft karena tidak melakukan sandboxing pada mesin antivirus.

“MsMpEng tidak di-sandbox, artinya jika Anda dapat mengeksploitasi kerentanan di sana, game over,” kata Yavo.

Masalah ini ditemukan pada 12 Mei oleh tim Project Zero Google, dan perbaikannya dikirim minggu lalu oleh Microsoft, yang belum memposting saran. Mesin diperbarui secara otomatis secara berkala, artinya sebagian besar pengguna seharusnya tidak lagi rentan.

Microsoft berada di bawah tekanan yang meningkat untuk mengamankan perangkat lunak mereka, dengan perusahaan meminta kerja sama yang lebih besar dari pemerintah dan untuk menciptakan a Konvensi Jenewa Digital untuk membantu menjaga keamanan pengguna.