微软悄悄修复了Windows Defender中的另一个“极其严重的漏洞”

微软悄悄推出了另一个针对 Windows Defender 病毒扫描引擎的修复程序，即 MsMpEng 恶意软件保护引擎。

就像 最后一个“疯狂的坏”漏洞，这个也是谷歌零计划研究员塔维斯·奥曼迪发现的，不过这次他私下向微软披露，可见上次他公开披露招来的批评已经产生了一些效果。

该漏洞将允许在 MsMpEng 的模拟器中执行的应用程序控制模拟器以实现各种恶作剧，包括当 Windows Defender 扫描通过电子邮件发送的可执行文件时远程执行代码。

“MsMpEng 包括一个完整的系统 x86 模拟器，用于执行任何看起来像 PE 可执行文件的不受信任的文件。 模拟器作为 NT AUTHORITY\SYSTEM 运行并且没有沙盒。 浏览模拟器支持的 win32 API 列表，我注意到 ntdll!NtControlChannel，一个类似 ioctl 的例程，允许模拟代码控制模拟器。

“模拟器的工作是模拟客户端的 CPU。 但是，奇怪的是，微软给了模拟器一个允许 API 调用的额外指令。 目前还不清楚微软为什么要为模拟器创建特殊说明。 如果你认为这听起来很疯狂，那么你并不孤单，”他写道。

“命令 0x0C 允许您将任意攻击者控制的正则表达式解析为 Microsoft GRETA（自 2000 年代初期以来废弃的库）……命令 0x12 允许额外的“微代码”，可以替换操作码……各种命令允许您更改执行参数、设置和读取扫描属性和 UFS 元数据。 这至少看起来像是隐私泄露，因为攻击者可以查询您设置的研究属性，然后通过扫描结果检索它，”Ormandy 写道。

enSilo 的联合创始人兼首席技术官 Udi Yavo 在接受 Threatpost 采访时表示：“这可能是一个极其严重的漏洞，但可能不像微软早先的零日漏洞那样容易被利用，该漏洞仅在两周前进行了修补。”

Yavo 批评微软没有对防病毒引擎进行沙盒处理。

“MsMpEng 没有沙盒化，这意味着如果你可以利用那里的漏洞，游戏就结束了，”Yavo 说。

谷歌零项目团队于 12 月 XNUMX 日发现了该问题，微软上周发布了修复程序，但尚未发布公告。 该引擎会定期自动更新，这意味着大多数用户应该不再容易受到攻击。

微软正面临越来越大的压力来保护他们的软件，该公司要求政府加强合作并创建一个 数字日内瓦公约帮助保障用户安全.