Microsoft risolve silenziosamente un'altra "vulnerabilità estremamente grave" in Windows Defender
3 minuto. leggere
Edizione del
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
Microsoft ha distribuito silenziosamente un'altra soluzione per il proprio motore di scansione antivirus in Windows Defender, il motore di protezione dal malware MsMpEng.
Proprio come il ultima vulnerabilità "cattiva pazza"., questo è stato scoperto anche dal ricercatore di Google Project Zero Tavis Ormandy, ma questa volta lo ha rivelato privatamente a Microsoft, mostrando che le critiche che ha attirato l'ultima volta per la sua divulgazione pubblica hanno avuto qualche effetto.
La vulnerabilità consentirebbe alle applicazioni eseguite nell'emulatore di MsMpEng di controllare l'emulatore per ottenere tutti i tipi di danno, inclusa l'esecuzione di codice in modalità remota quando Windows Defender scansiona un eseguibile inviato tramite posta elettronica.
“MsMpEng include un emulatore x86 di sistema completo che viene utilizzato per eseguire tutti i file non attendibili che assomigliano a eseguibili PE. L'emulatore viene eseguito come NT AUTHORITY\SYSTEM e non è in modalità sandbox. Sfogliando l'elenco delle API Win32 supportate dall'emulatore, ho notato ntdll! NtControlChannel, una routine simile a ioctl che consente al codice emulato di controllare l'emulatore.
“Il compito dell'emulatore è emulare la CPU del client. Ma, stranamente, Microsoft ha fornito all'emulatore un'istruzione aggiuntiva che consente le chiamate API. Non è chiaro il motivo per cui Microsoft crea istruzioni speciali per l'emulatore. Se pensi che suoni folle, non sei solo", ha scritto.
"Il comando 0x0C ti consente di analizzare le espressioni regolari controllate da attaccanti arbitrari su Microsoft GRETA (una libreria abbandonata dall'inizio degli anni 2000)... Il comando 0x12 consente un "microcodice" aggiuntivo che può sostituire gli opcode... Vari comandi consentono di modificare i parametri di esecuzione, impostare e leggere la scansione attributi e metadati UFS. Questa sembra almeno una perdita di privacy, poiché un utente malintenzionato può interrogare gli attributi di ricerca che hai impostato e quindi recuperarli tramite il risultato della scansione", ha scritto Ormandy.
"Questa era potenzialmente una vulnerabilità estremamente grave, ma probabilmente non facile da sfruttare come il precedente zero day di Microsoft, corretto solo due settimane fa", ha affermato Udi Yavo, co-fondatore e CTO di enSilo, in un'intervista con Threatpost.
Yavo ha criticato Microsoft per non aver eseguito il sandbox del motore antivirus.
"MsMpEng non è in modalità sandbox, il che significa che se puoi sfruttare una vulnerabilità lì è game over", ha detto Yavo.
Il problema è stato riscontrato il 12 maggio dal team Project Zero di Google e la correzione è stata inviata la scorsa settimana da Microsoft, che non ha pubblicato un avviso. Il motore viene regolarmente aggiornato automaticamente, il che significa che la maggior parte degli utenti non dovrebbe più essere vulnerabile.
Microsoft sta subendo crescenti pressioni per proteggere il proprio software, con la società che chiede una maggiore cooperazione da parte dei governi e di creare un Convenzione di Ginevra digitale per aiutare a mantenere gli utenti al sicuro.
