Microsoft незаметно исправляет еще одну «крайне серьезную уязвимость» в Защитнике Windows

Microsoft незаметно выпустила еще одно исправление для своего модуля сканирования на вирусы в Защитнике Windows, механизма защиты от вредоносных программ MsMpEng.

Так же, как последняя «безумно плохая» уязвимость, это также было обнаружено исследователем Google Project Zero Тэвисом Орманди, но на этот раз он в частном порядке раскрыл его Microsoft, показав, что критика, которую он вызвал в прошлый раз за его публичное раскрытие, имела определенный эффект.

Эта уязвимость позволяет приложениям, запущенным в эмуляторе MsMpEng, управлять эмулятором, чтобы выполнять всевозможные действия, включая удаленное выполнение кода, когда Защитник Windows сканирует исполняемый файл, отправленный по электронной почте.

«MsMpEng включает в себя полный эмулятор системы x86, который используется для запуска любых ненадежных файлов, которые выглядят как исполняемые файлы PE. Эмулятор работает как NT AUTHORITY\SYSTEM и не изолирован. Просматривая список API-интерфейсов win32, поддерживаемых эмулятором, я заметил ntdll!NtControlChannel, подпрограмму, похожую на ioctl, которая позволяет эмулируемому коду управлять эмулятором».

«Задача эмулятора — эмулировать процессор клиента. Но, как ни странно, Microsoft дала эмулятору дополнительную инструкцию, разрешающую вызовы API. Непонятно, почему Microsoft создает специальные инструкции для эмулятора. Если вы думаете, что это звучит безумно, вы не одиноки», — написал он.

«Команда 0x0C позволяет анализировать регулярные выражения, контролируемые произвольным злоумышленником, в Microsoft GRETA (библиотека, заброшенная с начала 2000-х)… Команда 0x12 позволяет использовать дополнительный «микрокод», который может заменить коды операций… Различные команды позволяют изменять параметры выполнения, устанавливать и читать сканирование атрибуты и метаданные UFS. По крайней мере, это похоже на утечку конфиденциальности, поскольку злоумышленник может запросить установленные вами атрибуты исследования, а затем получить их через результат сканирования», — написал Орманди.

«Потенциально это была чрезвычайно серьезная уязвимость, но, вероятно, ее не так легко использовать, как более раннюю уязвимость Microsoft, исправленную всего две недели назад», — сказал Уди Яво, соучредитель и технический директор enSilo, в интервью Threatpost.

Яво раскритиковал Microsoft за то, что антивирусное ядро ​​не изолировано в песочнице.

«MsMpEng не находится в песочнице, а это означает, что если вы сможете использовать уязвимость там, игра будет окончена», — сказал Яво.

Проблема была обнаружена 12 мая командой Google Project Zero, а исправление было отправлено на прошлой неделе Microsoft, которая не опубликовала рекомендации. Движок регулярно автоматически обновляется, что означает, что большинство пользователей больше не должны быть уязвимы.

Microsoft подвергается все большему давлению с целью обеспечения безопасности своего программного обеспечения, поскольку компания просит правительства о более тесном сотрудничестве и создании Женевская цифровая конвенция поможет обеспечить безопасность пользователей.