Microsoft fikser stille en annen "ekstremt dårlig sårbarhet" i Windows Defender
3 min. lese
Publisert på
Del denne artikkelen
Forbedre denne veiledningen
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Microsoft har i det stille presset ut en annen løsning for virusskanningsmotoren deres i Windows Defender, MsMpEng-malwarebeskyttelsesmotoren.
Akkurat som siste "vanvittig dårlig" sårbarhet, denne ble også oppdaget av Googles Project Zero-forsker Tavis Ormandy, men denne gangen avslørte han den privat til Microsoft, og viste at kritikken han tiltrakk seg forrige gang for offentligheten hans har hatt en viss effekt.
Sårbarheten ville tillate applikasjoner som kjøres i MsMpEngs emulator å kontrollere emulatoren for å oppnå alle slags ugagn, inkludert ekstern kjøring av kode når Windows Defender skannet en kjørbar fil sendt via e-post.
"MsMpEng inkluderer en full system x86-emulator som brukes til å kjøre uklarerte filer som ser ut som PE-kjørbare filer. Emulatoren kjører som NT AUTHORITY\SYSTEM og er ikke i sandkasse. Når jeg blar gjennom listen over win32 APIer som emulatoren støtter, la jeg merke til ntdll!NtControlChannel, en ioctl-lignende rutine som lar emulert kode kontrollere emulatoren.»
«Emulatorens jobb er å emulere klientens CPU. Men merkelig nok har Microsoft gitt emulatoren en ekstra instruksjon som tillater API-anrop. Det er uklart hvorfor Microsoft lager spesielle instruksjoner for emulatoren. Hvis du synes det høres sprøtt ut, er du ikke alene,” skrev han.
"Kommando 0x0C lar deg analysere vilkårlig angriperkontrollerte RegularExpressions til Microsoft GRETA (et bibliotek som ble forlatt siden tidlig på 2000-tallet)... Kommando 0x12 tillater ytterligere "mikrokode" som kan erstatte opkoder... Ulike kommandoer lar deg endre utførelsesparametere, sette og lese skanning attributter og UFS-metadata. Dette virker i det minste som en personvernlekkasje, ettersom en angriper kan spørre etter forskningsattributtene du angir og deretter hente det via skanneresultat,» skrev Ormandy.
"Dette var potensielt en ekstremt dårlig sårbarhet, men sannsynligvis ikke så lett å utnytte som Microsofts tidligere nulldag, lappet for bare to uker siden," sa Udi Yavo, medgründer og CTO i enSilo, i et intervju med Threatpost.
Yavo kritiserte Microsoft for ikke å sandboxe antivirusmotoren.
"MsMpEng er ikke i sandkasse, noe som betyr at hvis du kan utnytte en sårbarhet der, er det over," sa Yavo.
Problemet ble funnet den 12. mai av Googles Project Zero-team, og rettelsen ble sendt ut forrige uke av Microsoft, som ikke har lagt ut noen råd. Motoren oppdateres automatisk automatisk, noe som betyr at de fleste brukere ikke lenger skal være sårbare.
Microsoft kommer under økende press for å sikre programvaren deres, og selskapet ber om større samarbeid fra myndigheter og for å skape en Digital Genève-konvensjon for å holde brukere trygge.
