Microsoft po cichu naprawia kolejną „wyjątkowo poważną lukę” w Windows Defender
3 minuta. czytać
Opublikowany
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Firma Microsoft po cichu wydała kolejną poprawkę dla swojego silnika skanowania antywirusowego w programie Windows Defender, silnik ochrony przed złośliwym oprogramowaniem MsMpEng.
Tak jak ostatnia „szalony zła” luka, ten został również odkryty przez badacza Google Project Zero, Tavisa Ormandy'ego, ale tym razem prywatnie ujawnił go Microsoftowi, pokazując, że krytyka, którą spotkał się ostatnio z powodu jego publicznego ujawnienia, przyniosła pewien efekt.
Luka ta umożliwiłaby aplikacjom uruchamianym w emulatorze MsMpEng kontrolowanie emulatora w celu osiągnięcia wszelkiego rodzaju psot, w tym zdalnego wykonania kodu, gdy program Windows Defender zeskanował plik wykonywalny wysłany pocztą e-mail.
„MsMpEng zawiera pełny emulator systemu x86, który służy do uruchamiania niezaufanych plików, które wyglądają jak pliki wykonywalne PE. Emulator działa jako NT AUTHORITY\SYSTEM i nie jest w trybie piaskownicy. Przeglądając listę interfejsów Win32 API obsługiwanych przez emulator, zauważyłem ntdll!NtControlChannel, procedurę podobną do ioctl, która pozwala emulowanemu kodowi kontrolować emulator.”
„Zadaniem emulatora jest emulacja procesora klienta. Ale, co dziwne, Microsoft dał emulatorowi dodatkową instrukcję, która umożliwia wywołania API. Nie jest jasne, dlaczego Microsoft tworzy specjalne instrukcje dla emulatora. Jeśli uważasz, że to brzmi szalenie, nie jesteś sam” – napisał.
„Polecenie 0x0C umożliwia parsowanie wyrażeń regularnych kontrolowanych przez dowolnego atakującego do Microsoft GRETA (biblioteka porzucona we wczesnych latach 2000)… Polecenie 0x12 pozwala na dodatkowy „mikrokod”, który może zastąpić opkody… Różne polecenia pozwalają zmieniać parametry wykonania, ustawiać i odczytywać skan atrybuty i metadane UFS. Wygląda to przynajmniej na wyciek prywatności, ponieważ atakujący może sprawdzić ustawione przez Ciebie atrybuty badań, a następnie odzyskać je za pomocą wyniku skanowania” – napisał Ormandy.
„Była to potencjalnie bardzo zła luka, ale prawdopodobnie nie tak łatwa do wykorzystania jak wcześniejszy dzień zerowy Microsoftu, załatany zaledwie dwa tygodnie temu”, powiedział Udi Yavo, współzałożyciel i CTO enSilo, w wywiadzie dla Threatpost.
Yavo skrytykował Microsoft za niesandboxing silnika antywirusowego.
„MsMpEng nie jest piaskownicą, co oznacza, że jeśli możesz wykorzystać tam lukę, gra się kończy”, powiedział Yavo.
Problem został wykryty 12 maja przez zespół Google Project Zero, a poprawka została wysłana w zeszłym tygodniu przez Microsoft, który nie opublikował porady. Silnik jest regularnie aktualizowany automatycznie, co oznacza, że większość użytkowników nie powinna już być podatna na ataki.
Microsoft znajduje się pod rosnącą presją, aby zabezpieczyć swoje oprogramowanie, a firma prosi rządy o większą współpracę i stworzenie Cyfrowa Konwencja Genewska, aby zapewnić użytkownikom bezpieczeństwo.
