微軟悄悄修復了Windows Defender中的另一個“極其嚴重的漏洞”

微軟悄悄推出了另一個針對 Windows Defender 病毒掃描引擎的修復程序，即 MsMpEng 惡意軟件保護引擎。

就像 最後一個“瘋狂的壞”漏洞，這個也是谷歌零計劃研究員塔維斯·奧曼迪發現的，不過這次他私下向微軟披露，可見上次他公開披露招來的批評已經產生了一些效果。

該漏洞將允許在 MsMpEng 的模擬器中執行的應用程序控制模擬器以實​​現各種惡作劇，包括當 Windows Defender 掃描通過電子郵件發送的可執行文件時遠程執行代碼。

“MsMpEng 包括一個完整的系統 x86 模擬器，用於執行任何看起來像 PE 可執行文件的不受信任的文件。 模擬器作為 NT AUTHORITY\SYSTEM 運行並且沒有沙盒。 瀏覽模擬器支持的 win32 API 列表，我注意到 ntdll!NtControlChannel，一個類似 ioctl 的例程，允許模擬代碼控制模擬器。

“模擬器的工作是模擬客戶端的 CPU。 但是，奇怪的是，微軟給了模擬器一個允許 API 調用的額外指令。 目前尚不清楚微軟為什麼要為模擬器創建特殊說明。 如果你認為這聽起來很瘋狂，那麼你並不孤單，”他寫道。

“命令 0x0C 允許您將任意攻擊者控制的正則表達式解析為 Microsoft GRETA（自 2000 年代初期以來廢棄的庫）……命令 0x12 允許額外的“微代碼”，可以替換操作碼……各種命令允許您更改執行參數、設置和讀取掃描屬性和 UFS 元數據。 這至少看起來像是隱私洩露，因為攻擊者可以查詢您設置的研究屬性，然後通過掃描結果檢索它，”Ormandy 寫道。

enSilo 的聯合創始人兼首席技術官 Udi Yavo 在接受 Threatpost 採訪時表示：“這可能是一個極其嚴重的漏洞，但可能不像微軟早先的零日漏洞那樣容易被利用，該漏洞僅在兩週前進行了修補。”

Yavo 批評微軟沒有對防病毒引擎進行沙盒處理。

“MsMpEng 沒有沙盒化，這意味著如果你可以利用那裡的漏洞，遊戲就結束了，”Yavo 說。

谷歌零項目團隊於 12 月 XNUMX 日發現了該問題，微軟上週發布了修復程序，但尚未發佈公告。 該引擎會定期自動更新，這意味著大多數用戶應該不再容易受到攻擊。

微軟正面臨越來越大的壓力來保護他們的軟件，該公司要求政府加強合作並創建一個 數字日內瓦公約幫助保障用戶安全.