A Microsoft corrige silenciosamente outra “vulnerabilidade extremamente ruim” no Windows Defender
3 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
A Microsoft lançou discretamente outra correção para seu mecanismo de verificação de vírus no Windows Defender, o mecanismo de proteção contra malware MsMpEng.
Assim como o última vulnerabilidade “maluca”, este também foi descoberto pelo pesquisador do Projeto Zero do Google, Tavis Ormandy, mas desta vez ele o divulgou em particular para a Microsoft, mostrando que as críticas que ele atraiu da última vez por sua divulgação pública tiveram algum efeito.
A vulnerabilidade permitiria que aplicativos executados no emulador do MsMpEng controlassem o emulador para realizar todos os tipos de danos, incluindo a execução remota de código quando o Windows Defender verificasse um executável enviado por email.
“O MsMpEng inclui um emulador x86 de sistema completo que é usado para executar qualquer arquivo não confiável que se pareça com executáveis PE. O emulador é executado como NT AUTHORITY\SYSTEM e não está em área restrita. Navegando na lista de APIs win32 que o emulador suporta, notei o ntdll!NtControlChannel, uma rotina do tipo ioctl que permite que o código emulado controle o emulador.”
“O trabalho do emulador é emular a CPU do cliente. Mas, estranhamente, a Microsoft deu ao emulador uma instrução extra que permite chamadas de API. Não está claro por que a Microsoft cria instruções especiais para o emulador. Se você acha que isso parece loucura, você não está sozinho”, escreveu ele.
“O comando 0x0C permite que você analise RegularExpressions controlados por invasores arbitrários para o Microsoft GRETA (uma biblioteca abandonada desde o início dos anos 2000)… O comando 0x12 permite “microcódigo” adicional que pode substituir opcodes… Vários comandos permitem alterar parâmetros de execução, definir e ler varredura atributos e metadados UFS. Isso parece pelo menos um vazamento de privacidade, pois um invasor pode consultar os atributos de pesquisa que você definiu e recuperá-los por meio do resultado da verificação”, escreveu Ormandy.
“Esta era potencialmente uma vulnerabilidade extremamente ruim, mas provavelmente não tão fácil de explorar quanto o dia zero da Microsoft, corrigido há apenas duas semanas”, disse Udi Yavo, cofundador e CTO da enSilo, em entrevista ao Threatpost.
Yavo criticou a Microsoft por não colocar em sandbox o mecanismo antivírus.
“O MsMpEng não é sandbox, o que significa que se você puder explorar uma vulnerabilidade, o jogo acaba”, disse Yavo.
O problema foi encontrado em 12 de maio pela equipe do Project Zero do Google, e a correção foi enviada na semana passada pela Microsoft, que não publicou um aviso. O mecanismo é atualizado regularmente e automaticamente, o que significa que a maioria dos usuários não deve mais estar vulnerável.
A Microsoft está sob crescente pressão para proteger seu software, com a empresa pedindo maior cooperação dos governos e a criação de um Convenção de Genebra digital para ajudar a manter os usuários seguros.