Microsoft ได้ทำการแก้ไข "ช่องโหว่ที่เลวร้ายอย่างยิ่ง" อีกรายการหนึ่งใน Windows Defender อย่างเงียบๆ
3 นาที. อ่าน
เผยแพร่เมื่อ
แชร์บทความนี้
ปรับปรุงคู่มือนี้
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
Microsoft ได้ดำเนินการแก้ไขอื่นอย่างเงียบ ๆ สำหรับเครื่องมือสแกนไวรัสใน Windows Defender ซึ่งเป็นกลไกป้องกันมัลแวร์ MsMpEng
เช่นเดียวกับ ช่องโหว่ "บ้าๆบอๆ" ล่าสุดTavis Ormandy นักวิจัย Project Zero ของ Google ค้นพบสิ่งนี้ด้วย แต่คราวนี้เขาเปิดเผยต่อ Microsoft เป็นการส่วนตัว โดยแสดงให้เห็นว่าคำวิจารณ์ที่เขาดึงดูดเมื่อครั้งที่แล้วสำหรับการเปิดเผยต่อสาธารณะมีผลบางอย่าง
ช่องโหว่ดังกล่าวจะอนุญาตให้แอปพลิเคชันที่ทำงานในโปรแกรมจำลองของ MsMpEng ควบคุมโปรแกรมจำลองเพื่อให้ได้รับความเสียหายทุกประเภท รวมถึงการเรียกใช้โค้ดจากระยะไกลเมื่อ Windows Defender สแกนโปรแกรมปฏิบัติการที่ส่งทางอีเมล
“MsMpEng มีอีมูเลเตอร์ x86 แบบเต็มระบบที่ใช้ในการรันไฟล์ที่ไม่น่าเชื่อถือซึ่งดูเหมือนไฟล์สั่งการ PE โปรแกรมจำลองทำงานเป็น NT AUTHORITY\SYSTEM และไม่มีแซนด์บ็อกซ์ เมื่อเรียกดูรายการ win32 API ที่อีมูเลเตอร์รองรับ ฉันสังเกตเห็น ntdll!NtControlChannel ซึ่งเป็นรูทีนที่คล้ายกับ ioctl ที่อนุญาตให้โค้ดจำลองเพื่อควบคุมอีมูเลเตอร์”
“งานของอีมูเลเตอร์คือการจำลองซีพียูของลูกค้า แต่น่าแปลกที่ Microsoft ได้ให้คำสั่งพิเศษแก่โปรแกรมจำลองที่อนุญาตให้เรียก API ได้ ไม่ชัดเจนว่าเหตุใด Microsoft จึงสร้างคำแนะนำพิเศษสำหรับโปรแกรมจำลอง ถ้าคุณคิดว่ามันฟังดูบ้า แสดงว่าคุณไม่ได้อยู่คนเดียว” เขาเขียน
“Command 0x0C ให้คุณแยกวิเคราะห์ RegularExpressions ที่ควบคุมโดยผู้โจมตีโดยพลการไปยัง Microsoft GRETA (ไลบรารีที่ถูกละทิ้งตั้งแต่ช่วงต้นทศวรรษ 2000)… Command 0x12 อนุญาต “ไมโครโค้ด” เพิ่มเติมที่สามารถแทนที่ opcodes... คำสั่งต่างๆ ช่วยให้คุณเปลี่ยนพารามิเตอร์การดำเนินการ ตั้งค่าและอ่านการสแกน แอตทริบิวต์และข้อมูลเมตา UFS ดูเหมือนว่าจะมีการรั่วไหลของความเป็นส่วนตัวอย่างน้อย เนื่องจากผู้โจมตีสามารถสืบค้นคุณลักษณะการวิจัยที่คุณตั้งค่าแล้วดึงข้อมูลผ่านผลการสแกน” Ormandy เขียน
Udi Yavo ผู้ร่วมก่อตั้งและ CTO ของ enSilo กล่าวในการให้สัมภาษณ์กับ Threatpost ว่า "นี่อาจเป็นจุดอ่อนที่เลวร้ายอย่างยิ่ง แต่อาจไม่ใช่เรื่องง่ายที่จะใช้ประโยชน์เหมือนศูนย์วันก่อนหน้าของ Microsoft ที่แก้ไขเมื่อสองสัปดาห์ก่อน
Yavo วิพากษ์วิจารณ์ Microsoft ว่าไม่ทำแซนด์บ็อกซ์เอ็นจิ้นป้องกันไวรัส
“MsMpEng ไม่ได้ถูกแซนด์บ็อกซ์ หมายความว่าหากคุณสามารถใช้ประโยชน์จากช่องโหว่ที่นั่น เกมจะจบลง” Yavo กล่าว
พบปัญหาเมื่อวันที่ 12 พฤษภาคมโดยทีม Project Zero ของ Google และการแก้ไขที่ Microsoft ส่งออกไปเมื่อสัปดาห์ที่แล้วซึ่งไม่ได้โพสต์คำแนะนำ เครื่องยนต์มีการอัปเดตอัตโนมัติเป็นประจำ หมายความว่าผู้ใช้ส่วนใหญ่ไม่ควรเสี่ยงอีกต่อไป
Microsoft กำลังอยู่ภายใต้แรงกดดันที่เพิ่มขึ้นในการรักษาความปลอดภัยซอฟต์แวร์ โดยบริษัทขอความร่วมมือจากรัฐบาลให้มากขึ้น และเพื่อสร้าง Digital Geneva Convention เพื่อช่วยให้ผู้ใช้ปลอดภัย.
