Microsoft는 Windows Defender의 또 다른 "매우 나쁜 취약점"을 조용히 수정합니다.

Microsoft는 MsMpEng 맬웨어 방지 엔진인 Windows Defender의 바이러스 검색 엔진에 대한 또 다른 수정 사항을 조용히 발표했습니다.

마치 마지막 "크레이지 배드" 취약점, 이것 역시 구글의 프로젝트 제로 연구원인 Tavis Ormandy에 의해 발견되었지만, 이번에는 마이크로소프트에 비공개로 공개하여 지난번에 공개된 공개에 대한 비판이 어느 정도 영향을 미쳤음을 보여주었습니다.

이 취약점으로 인해 MsMpEng의 에뮬레이터에서 실행되는 애플리케이션이 에뮬레이터를 제어하여 Windows Defender가 이메일로 전송된 실행 파일을 스캔할 때 원격 코드 실행을 포함하여 모든 종류의 장난을 수행할 수 있습니다.

“MsMpEng에는 PE 실행 파일처럼 보이는 신뢰할 수 없는 파일을 실행하는 데 사용되는 전체 시스템 x86 에뮬레이터가 포함되어 있습니다. 에뮬레이터는 NT AUTHORITY\SYSTEM으로 실행되며 샌드박스 처리되지 않습니다. 에뮬레이터가 지원하는 win32 API 목록을 검색하면서 에뮬레이트된 코드가 에뮬레이터를 제어할 수 있도록 하는 ioctl과 유사한 루틴인 ntdll!NtControlChannel을 발견했습니다."

“에뮬레이터의 역할은 클라이언트의 CPU를 에뮬레이트하는 것입니다. 그러나 이상하게도 Microsoft는 에뮬레이터에 API 호출을 허용하는 추가 명령을 제공했습니다. Microsoft가 에뮬레이터에 대한 특별 지침을 만드는 이유는 명확하지 않습니다. 미친 소리라고 생각한다면 혼자가 아닙니다.”라고 그는 썼습니다.

"명령 0x0C를 사용하면 임의 공격자가 제어하는 ​​RegularExpressions를 Microsoft GRETA(2000년대 초반 이후 중단된 라이브러리)로 구문 분석할 수 있습니다... 명령 0x12를 사용하면 opcode를 대체할 수 있는 추가 "마이크로코드"가 허용됩니다... 다양한 명령을 사용하여 실행 매개변수를 변경하고 스캔을 설정하고 읽을 수 있습니다 속성 및 UFS 메타데이터. 공격자가 설정한 연구 속성을 쿼리한 다음 스캔 결과를 통해 검색할 수 있기 때문에 이것은 최소한 개인 정보 유출처럼 보입니다.”라고 Ormandy는 썼습니다.

enSilo의 공동 설립자이자 CTO인 Udi Yavo는 Threatpost와의 인터뷰에서 "이것은 잠재적으로 매우 나쁜 취약점이지만 XNUMX주 전에 패치된 Microsoft의 초기 제로 데이만큼 악용하기 쉽지는 않을 것입니다."라고 말했습니다.

Yavo는 바이러스 백신 엔진을 샌드박싱하지 않은 Microsoft를 비판했습니다.

Yavo는 "MsMpEng는 샌드박스 처리되지 않습니다. 즉, 취약점을 악용할 수 있다면 게임이 끝납니다."라고 말했습니다.

이 문제는 12월 XNUMX일 Google의 Project Zero 팀에서 발견되었으며 수정 사항은 권고를 게시하지 않은 Microsoft가 지난주에 발송했습니다. 엔진은 정기적으로 자동 업데이트되므로 대부분의 사용자가 더 이상 취약하지 않습니다.

Microsoft는 정부로부터 더 많은 협력을 요청하고 소프트웨어를 보호해야 한다는 압박을 받고 있습니다. 사용자를 안전하게 보호하는 디지털 제네바 협약.