Microsoft, Windows Defender'daki başka bir "son derece kötü güvenlik açığını" sessizce düzeltir
3 dk. okuman
Yayınlandı
Bu makaleyi paylaş
Bu kılavuzu geliştirin
MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla
Microsoft, MsMpEng kötü amaçlı yazılım koruma motoru olan Windows Defender'daki virüs tarama motoru için sessizce başka bir düzeltme yayınladı.
Tıpkı son "çılgın kötü" güvenlik açığı, bu da Google'ın Project Zero araştırmacısı Tavis Ormandy tarafından keşfedildi, ancak bu sefer özel olarak Microsoft'a açıkladı ve geçen sefer kamuya açıklanması nedeniyle aldığı eleştirilerin bir etkisi olduğunu gösterdi.
Güvenlik açığı, MsMpEng'in öykünücüsünde yürütülen uygulamaların öykünücüyü kontrol ederek, Windows Defender e-postayla gönderilen bir yürütülebilir dosyayı taradığında uzaktan kod yürütme de dahil olmak üzere her türlü yaramazlığı gerçekleştirmesine olanak tanır.
“MsMpEng, PE yürütülebilir dosyalarına benzeyen güvenilmeyen dosyaları yürütmek için kullanılan tam bir sistem x86 öykünücüsü içerir. Öykünücü, NT AUTHORITY\SYSTEM olarak çalışır ve korumalı alana alınmaz. Öykünücünün desteklediği win32 API'lerinin listesine göz atarken, öykünülmüş kodun öykünücüyü denetlemesine izin veren ioctl benzeri bir rutin olan ntdll!NtControlChannel'i fark ettim."
“Emülatörün işi, müşterinin CPU'sunu taklit etmektir. Ancak garip bir şekilde Microsoft, öykünücüye API çağrılarına izin veren fazladan bir talimat verdi. Microsoft'un öykünücü için neden özel talimatlar oluşturduğu açık değil. Bunun kulağa çılgınca geldiğini düşünüyorsanız, yalnız değilsiniz” diye yazdı.
“Komut 0x0C, rastgele saldırgan kontrollü Düzenli İfadeleri Microsoft GRETA'ya (2000'lerin başından beri terk edilen bir kitaplık) ayrıştırmanıza olanak tanır… 0x12 komutu, işlem kodlarının yerini alabilecek ek “mikro koda” izin verir… Çeşitli komutlar, yürütme parametrelerini değiştirmenize, taramayı ayarlamanıza ve okumanıza olanak tanır öznitelikler ve UFS meta verileri. Bu, en azından bir gizlilik sızıntısı gibi görünüyor, çünkü bir saldırgan, belirlediğiniz araştırma özelliklerini sorgulayabilir ve ardından tarama sonucu yoluyla alabilir, ”diye yazdı Ormandy.
enSilo'nun kurucu ortağı ve CTO'su Udi Yavo, Threatpost ile yaptığı röportajda, "Bu potansiyel olarak son derece kötü bir güvenlik açığıydı, ancak muhtemelen Microsoft'un sadece iki hafta önce yamalanan önceki sıfır gününden yararlanmak kadar kolay değildi" dedi.
Yavo, Microsoft'u antivirüs motorunu koruma altına almadığı için eleştirdi.
Yavo, "MsMpEng korumalı alan değil, yani oradaki bir güvenlik açığından yararlanabilirseniz oyun biter" dedi.
Sorun 12 Mayıs'ta Google'ın Sıfır Projesi ekibi tarafından bulundu ve düzeltme, bir tavsiye yayınlamayan Microsoft tarafından geçen hafta gönderildi. Motor düzenli olarak otomatik olarak güncellenir, bu da çoğu kullanıcının artık savunmasız kalması gerektiği anlamına gelir.
Microsoft, hükümetlerden daha fazla işbirliği ve bir Kullanıcıları güvende tutmaya yardımcı olmak için Dijital Cenevre Sözleşmesi.
