Microsoft fixar tyst en annan "extremt dålig sårbarhet" i Windows Defender
3 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Microsoft har tyst drivit ut ytterligare en fix för deras virussökningsmotor i Windows Defender, MsMpEng skadlig kodskyddsmotor.
Precis som senaste "galet dålig" sårbarhet, denna upptäcktes också av Googles Project Zero-forskare Tavis Ormandy, men den här gången avslöjade han det privat för Microsoft, vilket visade att kritiken han väckte förra gången för sitt offentliga avslöjande har haft viss effekt.
Sårbarheten skulle tillåta applikationer som körs i MsMpEngs emulator att styra emulatorn för att åstadkomma alla typer av bus, inklusive fjärrkörning av kod när Windows Defender skannade en körbar fil som skickats via e-post.
"MsMpEng inkluderar en fullständig x86-emulator som används för att köra alla opålitliga filer som ser ut som PE-körbara filer. Emulatorn körs som NT AUTHORITY\SYSTEM och är inte sandlåda. När jag bläddrade i listan över win32 API:er som emulatorn stöder, märkte jag ntdll!NtControlChannel, en ioctl-liknande rutin som tillåter emulerad kod att styra emulatorn."
"Emulatorns uppgift är att emulera klientens CPU. Men konstigt nog har Microsoft gett emulatorn en extra instruktion som tillåter API-anrop. Det är oklart varför Microsoft skapar speciella instruktioner för emulatorn. Om du tycker att det låter galet är du inte ensam”, skrev han.
"Kommando 0x0C låter dig tolka godtyckligt angripare kontrollerade RegularExpressions till Microsoft GRETA (ett bibliotek som övergetts sedan början av 2000-talet)... Kommando 0x12 tillåter ytterligare "mikrokod" som kan ersätta opkoder... Olika kommandon låter dig ändra exekveringsparametrar, ställa in och läsa skanning attribut och UFS-metadata. Det här verkar åtminstone som en integritetsläcka, eftersom en angripare kan fråga efter forskningsattributen du ställer in och sedan hämta det via skanningsresultat”, skrev Ormandy.
"Detta var potentiellt en extremt dålig sårbarhet, men förmodligen inte lika lätt att utnyttja som Microsofts tidigare nolldag, som korrigerades för bara två veckor sedan," sa Udi Yavo, medgrundare och CTO för enSilo, i en intervju med Threatpost.
Yavo kritiserade Microsoft för att inte sandlåda antivirusmotorn.
"MsMpEng är inte i sandlåde, vilket betyder att om du kan utnyttja en sårbarhet där är det slut," sa Yavo.
Problemet upptäcktes den 12 maj av Googles Project Zero-team, och korrigeringen skickades ut förra veckan av Microsoft, som inte har publicerat någon rådgivning. Motorn uppdateras automatiskt regelbundet, vilket innebär att de flesta användare inte längre bör vara sårbara.
Microsoft utsätts för ökande press för att säkra sin programvara, och företaget ber om större samarbete från regeringar och att skapa en Digital Genèvekonvention för att hålla användarna säkra.
