Microsoft тихо виправляє ще одну «надзвичайно серйозну вразливість» у Windows Defender

Microsoft незабаром випустила ще одне виправлення для свого механізму сканування вірусів у Windows Defender, механізму захисту від шкідливих програм MsMpEng.

Так само, як остання «шалено погана» вразливість, цей також був виявлений дослідником Google Project Zero Тавісом Орманді, але цього разу він приватно розкрив його Microsoft, показавши, що критика, яку він залучив минулого разу за своє публічне розкриття, мала певний ефект.

Ця вразливість дозволить програмам, що виконуються в емуляторі MsMpEng, керувати емулятором, щоб досягти будь-яких помилок, включаючи віддалене виконання коду, коли Windows Defender сканував виконуваний файл, надісланий електронною поштою.

«MsMpEng включає в себе повноцінний емулятор системи x86, який використовується для виконання будь-яких ненадійних файлів, які виглядають як виконувані файли PE. Емулятор працює як NT AUTHORITY\SYSTEM і не є пісочним середовищем. Переглядаючи список API win32, які підтримує емулятор, я помітив ntdll!NtControlChannel, процедуру, подібну до ioctl, яка дозволяє емульованому коду керувати емулятором».

«Завдання емулятора — емулювати центральний процесор клієнта. Але, як не дивно, Microsoft надала емулятору додаткову інструкцію, яка дозволяє викликати API. Незрозуміло, чому Microsoft створює спеціальні інструкції для емулятора. Якщо ви думаєте, що це звучить божевільно, ви не самотні», – написав він.

«Команда 0x0C дозволяє аналізувати регулярні вирази, керовані довільним зловмисником, у Microsoft GRETA (бібліотека, від якої відмовилися з початку 2000-х)… Команда 0x12 дозволяє додатковий «мікрокод», який може замінювати коди операцій… Різні команди дозволяють змінювати параметри виконання, встановлювати та читати сканування атрибути та метадані UFS. Це принаймні схоже на витік конфіденційності, оскільки зловмисник може запитати атрибути дослідження, які ви встановили, а потім отримати їх за допомогою результатів сканування», – написав Орманді.

«Це потенційно була надзвичайно погана вразливість, але її, ймовірно, не так просто використовувати, як попередній нульовий день Microsoft, який було виправлено всього два тижні тому», – сказав Уді Яво, співзасновник і технічний директор enSilo, в інтерв’ю Threatpost.

Яво розкритикував Microsoft за те, що вона не використовує антивірусну програму.

«MsMpEng не є пісочницею, а це означає, що якщо ви можете використати вразливість там, гра закінчена», – сказав Яво.

Проблему виявила 12 травня команда Google Project Zero, а виправлення надіслано минулого тижня Microsoft, яка не опублікувала рекомендацій. Движок регулярно оновлюється автоматично, що означає, що більшість користувачів більше не повинні бути вразливими.

Microsoft зазнає все більшого тиску, щоб захистити своє програмне забезпечення, і компанія просить посилити співпрацю з урядами та створити Цифрова Женевська конвенція, щоб захистити користувачів.