מיקרוסופט מתקנת בשקט עוד "פגיעות גרועה ביותר" ב-Windows Defender

מיקרוסופט דחפה בשקט תיקון נוסף למנוע סריקת הווירוסים שלהם ב-Windows Defender, מנוע ההגנה מפני תוכנות זדוניות MsMpEng.

בדיוק כמו הפגיעות האחרונה של "הרע בטירוף"., זה התגלה גם על ידי חוקר Project Zero של גוגל, Tavis Ormandy, אבל הפעם הוא חשף אותו באופן פרטי למיקרוסופט, והראה שהביקורת שהוא משך בפעם הקודמת על החשיפה הפומבית שלו השפיעה במידה מסוימת.

הפגיעות תאפשר ליישומים המופעלים באמולטור של MsMpEng לשלוט באמולטור כדי להשיג כל מיני תקלות, כולל ביצוע קוד מרחוק כאשר Windows Defender סורק קובץ הפעלה שנשלח בדוא"ל.

"MsMpEng כולל אמולטור x86 מערכת מלא המשמש לביצוע כל קבצים לא מהימנים שנראים כמו קובצי הפעלה PE. האמולטור פועל כ-NT AUTHORITY\SYSTEM ואינו בארגז חול. בדפדפתי ברשימת ממשקי API של win32 שהאמולטור תומך בהם, הבחנתי ב-ntdll!NtControlChannel, שגרה דמוית ioctl המאפשרת לקוד אמולטור לשלוט באמולטור."

"תפקידו של האמולטור הוא לחקות את המעבד של הלקוח. אבל, באופן מוזר, מיקרוסופט נתנה לאמולטור הוראה נוספת המאפשרת קריאות API. לא ברור מדוע מיקרוסופט יוצרת הוראות מיוחדות עבור האמולטור. אם אתה חושב שזה נשמע מטורף, אתה לא לבד", כתב.

"פקודה 0x0C מאפשרת לך לנתח RegularExpressions הנשלטות על ידי תוקף שרירותי ל-Microsoft GRETA (ספרייה שננטשה מאז תחילת שנות ה-2000)... Command 0x12 מאפשר "מיקרוקוד" נוסף שיכול להחליף קודים... פקודות שונות מאפשרות לך לשנות פרמטרים של ביצוע, להגדיר ולקרוא סריקה תכונות ומטא נתונים של UFS. זה נראה לפחות כמו דליפת פרטיות, מכיוון שתוקף יכול לשאול את תכונות המחקר שהגדרת ואז לאחזר אותו באמצעות תוצאת סריקה", כתב אורמנדי.

"זו הייתה פוטנציאל פגיעות גרועה ביותר, אבל כנראה לא קלה לניצול כמו יום האפס הקודם של מיקרוסופט, שתוקן רק לפני שבועיים", אמר אודי יאבו, מייסד שותף ו-CTO של enSilo, בראיון ל-Threatpost.

יאבו מתח ביקורת על מיקרוסופט על כך שלא מארגנת את מנוע האנטי-וירוס.

"MsMpEng לא נמצא בארגז חול, כלומר אם אתה יכול לנצל פגיעות שם זה נגמר", אמר יאבו.

הבעיה נמצאה ב-12 במאי על ידי צוות Project Zero של גוגל, והתיקון שנשלח בשבוע שעבר על ידי מיקרוסופט, שלא פרסמה ייעוץ. המנוע מתעדכן באופן אוטומטי באופן קבוע, כלומר רוב המשתמשים לא צריכים להיות יותר פגיעים.

מיקרוסופט נמצאת תחת לחץ הולך וגובר לאבטח את התוכנה שלה, כשהחברה מבקשת שיתוף פעולה גדול יותר מממשלות וליצור א אמנת ז'נבה הדיגיטלית כדי לעזור לשמור על בטיחות המשתמשים.