Microsoft tiho popravi še eno "izjemno slabo ranljivost" v programu Windows Defender

Microsoft je tiho uvedel še en popravek za njihov mehanizem za skeniranje virusov v Windows Defenderju, motor za zaščito pred zlonamerno programsko opremo MsMpEng.

Tako kot zadnja "noro slaba" ranljivost, tega je odkril tudi Googlov raziskovalec Project Zero Tavis Ormandy, a ga je tokrat zasebno razkril Microsoftu in s tem pokazal, da so kritike, ki jih je zadnjič pritegnil zaradi svojega javnega razkritja, imele nekaj učinka.

Ranljivost bi aplikacijam, ki se izvajajo v emulatorju MsMpEng, omogočila nadzor nad emulatorjem, da bi dosegli vse vrste nagajiv, vključno z oddaljenim izvajanjem kode, ko je Windows Defender skeniral izvedljivo datoteko, poslano po e-pošti.

»MsMpEng vključuje celoten sistemski emulator x86, ki se uporablja za izvajanje vseh nezaupljivih datotek, ki so videti kot izvedljive datoteke PE. Emulator deluje kot NT AUTHORITY\SYSTEM in ni v peskovniku. Med brskanjem po seznamu API-jev win32, ki jih podpira emulator, sem opazil ntdll!NtControlChannel, rutino, podobno ioctlu, ki omogoča emulirani kodi za nadzor nad emulatorjem.«

»Naloga emulatorja je posnemati odjemalčev CPE. Toda čudno je, da je Microsoft emulatorju dal dodatno navodilo, ki omogoča klice API-ja. Ni jasno, zakaj Microsoft ustvari posebna navodila za emulator. Če mislite, da se to sliši noro, niste sami,« je zapisal.

»Ukaz 0x0C vam omogoča razčlenitev RegularExpressions, ki jih nadzoruje poljuben napadalec, v Microsoft GRETA (knjižnica, opuščena od zgodnjih 2000-ih)… Ukaz 0x12 omogoča dodatno »mikrokodo«, ki lahko nadomesti opkode… Različni ukazi vam omogočajo spreminjanje parametrov izvajanja, nastavitev in branje skeniranja atributi in metapodatki UFS. To se zdi vsaj puščanje zasebnosti, saj lahko napadalec poišče raziskovalne atribute, ki jih nastavite, in jih nato pridobi z rezultatom skeniranja,« je zapisal Ormandy.

"To je bila potencialno zelo slaba ranljivost, vendar verjetno ni tako enostavno izkoristiti kot Microsoftov prejšnji ničelni dan, ki so ga popravili pred samo dvema tednoma," je v intervjuju za Threatpost povedal Udi Yavo, soustanovitelj in tehnični direktor podjetja enSilo.

Yavo je kritiziral Microsoft, ker ne uporablja peskovnika protivirusnega motorja.

"MsMpEng ni peskovnik, kar pomeni, da če lahko izkoristite ranljivost tam, je igre konec," je dejal Yavo.

Težavo je 12. maja odkrila Googlova ekipa Project Zero, popravek pa je prejšnji teden poslal Microsoft, ki ni objavil nasveta. Motor se redno samodejno posodablja, kar pomeni, da večina uporabnikov ne bi smela biti več ranljiva.

Microsoft je pod vse večjim pritiskom, da zavaruje svojo programsko opremo, pri čemer podjetje prosi za večje sodelovanje vlad in za ustvarjanje Digitalna Ženevska konvencija za pomoč pri varovanju uporabnikov.