Microsoft repareert stilletjes een andere "extreem ernstige kwetsbaarheid" in Windows Defender
3 minuut. lezen
Uitgegeven op
deel dit artikel
Verbeter deze handleiding
Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer
Microsoft heeft stilletjes een nieuwe oplossing uitgebracht voor hun virusscanengine in Windows Defender, de MsMpEng-malwarebeschermingsengine.
Net zoals de laatste "crazy bad" kwetsbaarheid, deze werd ook ontdekt door Google's Project Zero-onderzoeker Tavis Ormandy, maar deze keer maakte hij het privé aan Microsoft bekend, waaruit blijkt dat de kritiek die hij de vorige keer kreeg voor zijn openbare onthulling enig effect had.
Door het beveiligingslek zouden toepassingen die in de emulator van MsMpEng worden uitgevoerd, de emulator kunnen besturen om allerlei soorten onheil te veroorzaken, inclusief het uitvoeren van externe code wanneer Windows Defender een uitvoerbaar bestand scant dat per e-mail is verzonden.
“MsMpEng bevat een x86-emulator voor het volledige systeem die wordt gebruikt om niet-vertrouwde bestanden uit te voeren die eruitzien als uitvoerbare PE-bestanden. De emulator wordt uitgevoerd als NT AUTHORITY\SYSTEM en is niet gesandboxed. Toen ik door de lijst met win32-API's bladerde die de emulator ondersteunt, zag ik ntdll!NtControlChannel, een ioctl-achtige routine waarmee geëmuleerde code de emulator kan besturen."
“Het is de taak van de emulator om de CPU van de klant te emuleren. Maar vreemd genoeg heeft Microsoft de emulator een extra instructie gegeven die API-aanroepen toestaat. Het is onduidelijk waarom Microsoft speciale instructies voor de emulator maakt. Als je denkt dat dat gek klinkt, ben je niet de enige", schreef hij.
"Command 0x0C stelt je in staat om door willekeurige aanvallers bestuurde RegularExpressions te parseren naar Microsoft GRETA (een bibliotheek die sinds het begin van de jaren 2000 is verlaten) ... Command 0x12 maakt extra "microcode" mogelijk die opcodes kan vervangen ... Met verschillende commando's kun je uitvoeringsparameters wijzigen, scan instellen en lezen attributen en UFS-metadata. Dit lijkt in ieder geval op een privacylek, aangezien een aanvaller de onderzoeksattributen die u instelt, kan opvragen en deze vervolgens kan ophalen via het scanresultaat”, schreef Ormandy.
"Dit was mogelijk een extreem ernstige kwetsbaarheid, maar waarschijnlijk niet zo gemakkelijk te misbruiken als de eerdere zero day van Microsoft, die slechts twee weken geleden werd gepatcht", zegt Udi Yavo, mede-oprichter en CTO van enSilo, in een interview met Threatpost.
Yavo bekritiseerde Microsoft voor het niet sandboxen van de antivirus-engine.
"MsMpEng is niet sandboxed, wat betekent dat als je een kwetsbaarheid daar kunt misbruiken, het game over is", zei Yavo.
Het probleem werd op 12 mei gevonden door het Project Zero-team van Google en de oplossing werd vorige week verzonden door Microsoft, die geen advies heeft geplaatst. De engine wordt regelmatig automatisch bijgewerkt, wat betekent dat de meeste gebruikers niet langer kwetsbaar zouden moeten zijn.
Microsoft komt onder toenemende druk te staan om hun software te beveiligen, waarbij het bedrijf vraagt om meer medewerking van overheden en om een Digitale Conventie van Genève om gebruikers te beschermen.
