Microsoft v tichosti opravuje ďalšiu „extrémne zlú zraniteľnosť“ v programe Windows Defender

Spoločnosť Microsoft potichu vydala ďalšiu opravu pre svoj nástroj na skenovanie vírusov v programe Windows Defender, nástroj na ochranu pred škodlivým softvérom MsMpEng.

Rovnako ako posledná „šialene zlá“ zraniteľnosť, tento objavil aj výskumník projektu Google Project Zero Tavis Ormandy, no tentoraz to súkromne prezradil spoločnosti Microsoft, čím ukázal, že kritika, ktorú naposledy vyvolal za jeho zverejnenie, mala určitý účinok.

Zraniteľnosť by umožnila aplikáciám spusteným v emulátore MsMpEng ovládať emulátor na dosiahnutie všetkých druhov neplechu vrátane vzdialeného spustenia kódu, keď program Windows Defender naskenoval spustiteľný súbor odoslaný e-mailom.

„MsMpEng obsahuje úplný systémový emulátor x86, ktorý sa používa na spustenie akýchkoľvek nedôveryhodných súborov, ktoré vyzerajú ako spustiteľné súbory PE. Emulátor beží ako NT AUTHORITY\SYSTEM a nie je v karanténe. Pri prehliadaní zoznamu win32 API, ktoré emulátor podporuje, som si všimol ntdll!NtControlChannel, rutinu podobná ioctl, ktorá umožňuje emulovanému kódu ovládať emulátor.“

„Úlohou emulátora je emulovať CPU klienta. Microsoft však napodiv dal emulátoru ďalšiu inštrukciu, ktorá umožňuje volania API. Nie je jasné, prečo spoločnosť Microsoft vytvára špeciálne pokyny pre emulátor. Ak si myslíte, že to znie šialene, nie ste sami,“ napísal.

„Príkaz 0x0C vám umožňuje analyzovať RegularExpressions kontrolované ľubovoľným útočníkom do Microsoft GRETA (knižnica opustená od začiatku 2000-tych rokov)… Príkaz 0x12 umožňuje ďalší „mikrokód“, ktorý môže nahradiť operačné kódy… Rôzne príkazy vám umožňujú meniť parametre vykonávania, nastavovať a čítať skenovanie atribúty a UFS metadáta. Vyzerá to prinajmenšom ako únik súkromia, pretože útočník môže vyhľadávať atribúty výskumu, ktoré ste nastavili, a potom ich získať prostredníctvom výsledku skenovania,“ napísal Ormandy.

„Bola to potenciálne extrémne zlá zraniteľnosť, ale pravdepodobne nebude tak ľahké ju zneužiť ako predchádzajúci zero day od Microsoftu, opravený len pred dvoma týždňami,“ povedal Udi Yavo, spoluzakladateľ a technický riaditeľ enSilo, v rozhovore pre Threatpost.

Yavo kritizoval Microsoft za to, že neizoloval antivírusový modul.

„MsMpEng nie je izolovaný v karanténe, čo znamená, že ak tam dokážete zneužiť zraniteľnosť, je koniec hry,“ povedal Yavo.

Problém bol zistený 12. mája tímom projektu Google Project Zero a oprava bola odoslaná minulý týždeň spoločnosťou Microsoft, ktorá nezverejnila žiadne upozornenie. Motor sa pravidelne automaticky aktualizuje, čo znamená, že väčšina používateľov by už nemala byť zraniteľná.

Microsoft sa dostáva pod čoraz väčší tlak na zabezpečenie svojho softvéru, pričom spoločnosť žiada vlády o väčšiu spoluprácu a vytvorenie a Digitálna Ženevská konvencia, ktorá pomáha zaistiť bezpečnosť používateľov.