Microsoft je nedavno objavil Varnostno svetovanje 4022344 in napovedal resno varnostno ranljivost v sistemu za zaščito pred zlonamerno programsko opremo.

Microsoftov mehanizem za zaščito pred zlonamerno programsko opremo

To orodje uporabljajo različni Microsoftovi izdelki, kot so Windows Defender in Microsoft Security Essentials na računalnikih potrošnikov. Uporabljajo ga tudi Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Protection Endpoint, ali Windows Intune Endpoint Protection na poslovni strani.

Ranljivost, ki je vplivala na vse te izdelke, bi lahko omogočila oddaljeno izvajanje kode, če bi program, ki poganja Microsoftov program za zaščito pred zlonamerno programsko opremo, pregledal izdelano datoteko.

Odpravljena je ranljivost Windows Defender

Tavis Ormandy in Natalie Silvanovich iz Google Project Zero sta 6. maja 2017. odkrili "najslabši eksek oddaljene kode sistema Windows v zadnjem spominu". Raziskovalci so Microsoftu povedali o tej ranljivosti, informacije pa so bile skrite pred javnostjo, da bi lahko podjetje dali 90 dni, da se popravi.

Microsoft je hitro ustvaril obliž in uporabnikom izrinil nove različice sistema Windows Defender in druge.

Stranke Windows, ki imajo na svojih napravah prizadete izdelke, morajo poskrbeti, da so posodobljene.

Posodobite program v sistemu Windows 10

• Tapnite tipko Windows, vnesite Windows Defender in pritisnite Enter, da naložite program.
• Če zaženete Windows 10 Creators Update, dobite nov varnostni center Windows Defender.
• Kliknite ikono zobnika.
• Na naslednji strani izberite About About.
• Preverite različico motorja in se prepričajte, da je vsaj 1.1.13704.0.

Posodobitve programa Windows Defender so na voljo v programu Windows Update. Več informacij o ročni posodobitvi Microsoftovih izdelkov pred zlonamerno programsko opremo je na voljo v centru za zaščito pred zlonamerno programsko opremo na Microsoftovem spletnem mestu.

Googlovo poročilo o ranljivosti na spletnem mestu Project Zero

Tukaj je:

Ranljivosti v MsMpEng so med najtežjimi možnimi v operacijskem sistemu Windows zaradi privilegij, dostopnosti in vseprisotnosti storitve.

Osnovna komponenta MsMpEng, odgovorna za skeniranje in analize, se imenuje mpengin. Mpengine je obsežna in zapletena napadalna površina, ki jo sestavljajo vodniki za več deset ezoteričnih arhivskih formatov, izvedljivi paketi in kriptorji, polni sistemski emulatorji in tolmači za različne arhitekture in jezike itd. Vsa ta koda je dostopna oddaljenim napadalcem.

NScript je komponenta mpengina, ki oceni kateri koli datotečni sistem ali omrežno aktivnost, ki je videti kot JavaScript. Jasno je, da gre za nepoškodovani in zelo privilegiran tolmač JavaScript, ki se privzeto uporablja za ocenjevanje nezaupljive kode na vseh sodobnih sistemih Windows. To je presenetljivo, kot se sliši.