Microsoft remediază în liniște o altă „vulnerabilitate extrem de gravă” în Windows Defender
3 min. citit
Publicat în data de
Distribuiți acest articol
Îmbunătățiți acest ghid
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Microsoft a lansat în liniște o altă remediere pentru motorul său de scanare antivirus în Windows Defender, motorul de protecție împotriva malware MsMpEng.
La fel ca și ultima vulnerabilitate „nebun de rău”., acesta a fost descoperit și de cercetătorul Google Project Zero, Tavis Ormandy, dar de data aceasta l-a dezvăluit în privat Microsoft, arătând că criticile pe care le-a atras data trecută pentru dezvăluirea sa publică au avut un anumit efect.
Vulnerabilitatea ar permite aplicațiilor executate în emulatorul lui MsMpEng să controleze emulatorul pentru a realiza tot felul de răutăciuni, inclusiv execuția de cod de la distanță atunci când Windows Defender a scanat un executabil trimis prin e-mail.
„MsMpEng include un emulator x86 de sistem complet care este folosit pentru a executa orice fișiere neîncrezătoare care arată ca executabile PE. Emulatorul rulează ca NT AUTHORITY\SYSTEM și nu este în sandbox. Răsfoind lista de API-uri win32 pe care le acceptă emulatorul, am observat ntdll!NtControlChannel, o rutină asemănătoare ioctl care permite codului emulat să controleze emulatorul.”
„Sarcina emulatorului este să emuleze procesorul clientului. Dar, în mod ciudat, Microsoft a oferit emulatorului o instrucțiune suplimentară care permite apeluri API. Nu este clar de ce Microsoft creează instrucțiuni speciale pentru emulator. Dacă crezi că sună nebunesc, nu ești singur”, a scris el.
„Comanda 0x0C vă permite să analizați RegularExpressions controlate de atacatori arbitrar la Microsoft GRETA (o bibliotecă abandonată de la începutul anilor 2000)... Comanda 0x12 permite „microcod” suplimentar care poate înlocui codurile operaționale... Diverse comenzi vă permit să modificați parametrii de execuție, să setați și să citiți scanarea atribute și metadate UFS. Aceasta pare cel puțin o scurgere de confidențialitate, deoarece un atacator poate interoga atributele de cercetare pe care le setați și apoi le poate prelua prin rezultatul scanării”, a scris Ormandy.
„Aceasta a fost potențial o vulnerabilitate extrem de proastă, dar probabil nu la fel de ușor de exploatat ca zero ziua anterioară a Microsoft, corectată acum doar două săptămâni”, a declarat Udi Yavo, co-fondator și CTO al enSilo, într-un interviu pentru Threatpost.
Yavo a criticat Microsoft pentru că nu a pus în sandbox motorul antivirus.
„MsMpEng nu este în sandbox, adică dacă poți exploata o vulnerabilitate acolo, jocul s-a terminat”, a spus Yavo.
Problema a fost găsită pe 12 mai de echipa Google Project Zero, iar remedierea trimisă săptămâna trecută de Microsoft, care nu a postat un aviz. Motorul este actualizat automat în mod regulat, ceea ce înseamnă că majoritatea utilizatorilor nu ar mai trebui să fie vulnerabili.
Microsoft se confruntă cu o presiune din ce în ce mai mare pentru a-și asigura software-ul, compania solicitând o mai mare cooperare din partea guvernelor și să creeze un Convenția digitală de la Geneva pentru a menține utilizatorii în siguranță.
