Poważna luka w Windows Defender została załatana w 2 dni

Zespół ds. bezpieczeństwa z Google Project Zero znalazł lukę w usłudze Antimalware Service Executable (MsMpEng), która jest domyślnie włączona we wszystkich systemach Windows 8, 8.1, 10 oraz w wersjach serwerowych: 2012 oraz 2016, z tą różnicą, że w Windows Serwer 2012 antywirus Windows Defender nie jest dostępny.  


Opublikowany exploit tymczasowo wyłącza ochronę w czasie rzeczywistym.

Dla użytkowników końcowych oznacza to, że zarówno Windows Defender, jak i Microsoft Security Essentials oraz centralna konsola dla firm System Center Endpoint Protection, a także inne produkty MS korzystające z tego samego rdzenia były podatne na zdalne wykonanie dowolnego kodu. Na przykład, na stacjach roboczych możliwe było wykonanie poleceń z uprawnieniami najwyższymi (NT AUTHORITY\SYSTEM) dostarczając na system ofiary link do pobrania załącznika w przeglądarce, komunikatorze, w wiadomości e-mail.


Opublikowany dowód koncepcji wyłącza usługę MsMpEng na kilka chwil lub do następnego restartu komputera, która odpowiedzialna jest za ochronę w czasie rzeczywistym.

The attached proof of concept demonstrates this, but please be aware that downloading it will immediately crash MsMpEng in it's default configuration and possibly destabilize your system. Extra care should be taken sharing this report with other Windows users via Exchange, or web services based on IIS, and so on.

Jest to tylko przykładowe wykorzystanie exploita opracowanego przez Nataliea Silvanovicha i Tavisa Ormandy z zespołu Google Project Zero.

Co najważniejsze, nieautoryzowane wykonanie kodu było możliwe bez otwierania załącznika. Usługa anty-malware zawierała podatność, która dawała atakującemu dostęp do części silnika antywirusa firmy Microsoft odpowiedzialnego za skanowanie wszystkiego, co dostaje się do chronionego systemu niezależnie od źródła pochodzenia: przeglądarka, komunikator, e-mail, USB, itp.

Microsoft opublikował aktualizację 2 dni po zgłoszeniu i jest ona już dostępna w Windows Update.




Komentarze

Obrazek użytkownika Daniel

Z przykrością stwierdzam, że w wielu mniejszych firmach WD jest jako podstawowe rozwiązanie AV. Chroni nie tylko stacje robocze, a nawet wewnętrzne serwery ftp z pracującymi bazami danych. W 3/10 przypadków usługa jest wyłączona, nieaktualna i uruchomiana na życzenie ;-)

Obrazek użytkownika micro-men

Nie wiem po co pisać dedykowany materiał, że Microsoft coś tam zaktualizował. Co chwile inni producenci aktualizują własne software i nikt o tym wielkiego hałasu nie robi.

Dodaj komentarz