Microsoft âm thầm sửa thêm một “lỗ hổng cực kỳ tệ” khác trong Windows Defender
3 phút đọc
Được đăng trên
Chia sẻ bài báo này
Cải thiện hướng dẫn này
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Microsoft đã âm thầm đưa ra một bản sửa lỗi khác cho công cụ quét vi-rút của họ trong Windows Defender, công cụ bảo vệ phần mềm độc hại MsMpEng.
Giống như lỗ hổng bảo mật "cực kỳ tồi tệ" cuối cùng, điều này cũng đã được phát hiện bởi nhà nghiên cứu Project Zero của Google, Tavis Ormandy, nhưng lần này anh ấy đã tiết lộ nó một cách riêng tư cho Microsoft, cho thấy những lời chỉ trích mà anh ấy đã thu hút lần trước về việc tiết lộ công khai của mình đã có tác dụng nhất định.
Lỗ hổng bảo mật sẽ cho phép các ứng dụng được thực thi trong trình giả lập MsMpEng điều khiển trình giả lập để đạt được mọi trò nghịch ngợm, bao gồm thực thi mã từ xa khi Windows Defender quét tệp thực thi được gửi qua email.
“MsMpEng bao gồm một trình giả lập x86 toàn hệ thống được sử dụng để thực thi bất kỳ tệp không đáng tin cậy nào trông giống như tệp thực thi PE. Trình giả lập chạy dưới dạng NT AUTHORITY \ SYSTEM và không có hộp cát. Duyệt qua danh sách các API win32 mà trình giả lập hỗ trợ, tôi nhận thấy ntdll! NtControlChannel, một quy trình giống như ioctl cho phép mã giả lập điều khiển trình giả lập. ”
“Công việc của trình giả lập là giả lập CPU của khách hàng. Tuy nhiên, kỳ lạ thay, Microsoft đã cung cấp cho trình giả lập một hướng dẫn bổ sung cho phép các lệnh gọi API. Không rõ tại sao Microsoft lại tạo ra các hướng dẫn đặc biệt cho trình giả lập. Nếu bạn nghĩ điều đó nghe có vẻ điên rồ, thì bạn không hề đơn độc ”, anh viết.
“Lệnh 0x0C cho phép bạn phân tích cú pháp các Biểu thức chính quy do kẻ tấn công kiểm soát tùy ý thành Microsoft GRETA (một thư viện bị bỏ hoang từ đầu những năm 2000)… Lệnh 0x12 cho phép bổ sung“ vi mã ”có thể thay thế các mã quang… Nhiều lệnh khác nhau cho phép bạn thay đổi các tham số thực thi, đặt và đọc quét thuộc tính và siêu dữ liệu UFS. Điều này có vẻ giống như một vụ rò rỉ quyền riêng tư, vì kẻ tấn công có thể truy vấn các thuộc tính nghiên cứu mà bạn đặt và sau đó truy xuất nó thông qua kết quả quét, ”Ormandy viết.
Udi Yavo, đồng sáng lập và CTO của enSilo, cho biết trong một cuộc phỏng vấn với Threatpost: “Đây có khả năng là một lỗ hổng cực kỳ nghiêm trọng, nhưng có lẽ không dễ khai thác như ngày XNUMX trước đó của Microsoft, được vá chỉ hai tuần trước.
Yavo chỉ trích Microsoft vì đã không tạo hộp cát cho công cụ chống vi-rút.
“MsMpEng không có hộp cát, có nghĩa là nếu bạn có thể khai thác một lỗ hổng thì trò chơi sẽ kết thúc,” Yavo nói.
Sự cố đã được phát hiện vào ngày 12 tháng XNUMX bởi nhóm Project Zero của Google và bản sửa lỗi được gửi vào tuần trước bởi Microsoft, những người đã không đăng một lời khuyên. Động cơ thường xuyên được cập nhật tự động, có nghĩa là hầu hết người dùng sẽ không còn dễ bị tấn công.
Microsoft đang chịu áp lực ngày càng tăng trong việc bảo mật phần mềm của họ, với việc công ty yêu cầu sự hợp tác nhiều hơn từ các chính phủ và tạo ra một Công ước Geneva về kỹ thuật số để giúp giữ an toàn cho người dùng.
