Firma Microsoft niedawno opublikowała Poradnik bezpieczeństwa 4022344, ogłaszając poważną lukę w zabezpieczeniach silnika ochrony przed złośliwym oprogramowaniem.

Silnik ochrony przed złośliwym oprogramowaniem firmy Microsoft

Z tego narzędzia korzystają różne produkty Microsoft, takie jak Windows Defender i Microsoft Security Essentials na komputerach osobistych. Jest także używany przez Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection lub Windows Intune Endpoint Protection po stronie biznesowej.

Luka, która wpłynęła na wszystkie te produkty, może pozwolić na zdalne wykonanie kodu, jeśli program z uruchomionym programem Microsoft Malware Protection Engine zeskanuje spreparowany plik.

Naprawiono usterkę Windows Defender

Tavis Ormandy i Natalie Silvanovich z Google Project Zero odkryli „najgorsze zdalne wykonanie kodu systemu Windows w najnowszej pamięci” 6 maja 2017 r. Naukowcy powiedzieli Microsoft o tej usterce, a informacje zostały ukryte przed opinią publiczną, aby dać firmie 90 dni, aby to naprawić.

Microsoft szybko stworzył łatkę i udostępnił użytkownikom nowe wersje Windows Defender i więcej.

Klienci systemu Windows, którzy mają produkty, których dotyczy problem, działają na swoich urządzeniach, muszą upewnić się, że są zaktualizowane.

Zaktualizuj program w systemie Windows 10

• Naciśnij klawisz Windows, wpisz Windows Defender i naciśnij Enter, aby załadować program.
• Jeśli uruchomisz aktualizację Windows 10 Creators Update, otrzymasz nowe Centrum zabezpieczeń Windows Defender.
• Kliknij ikonę koła zębatego.
• Wybierz Informacje na następnej stronie.
• Sprawdź wersję silnika, aby upewnić się, że jest to co najmniej 1.1.13704.0.

Aktualizacje Windows Defender są dostępne za pośrednictwem Windows Update. Więcej informacji na temat ręcznej aktualizacji produktów anty-malware firmy Microsoft jest dostępnych w Centrum ochrony przed złośliwym oprogramowaniem na stronie internetowej Microsoft.

Raport podatności Google na stronie Project Zero

Oto on:

Luki w zabezpieczeniach MsMpEng należą do najpoważniejszych z możliwych w systemie Windows ze względu na przywilej, dostępność i wszechobecność usługi.

Podstawowym składnikiem MsMpEng odpowiedzialnym za skanowanie i analizę jest mpengine. Mpengine jest rozległą i złożoną powierzchnią ataku, składającą się z procedur obsługi dziesiątek ezoterycznych formatów archiwów, wykonywalnych programów pakujących i szyfrujących, pełnych emulatorów i interpretatorów systemów dla różnych architektur i języków itd. Cały ten kod jest dostępny dla zdalnych atakujących.

NScript jest składnikiem mpengine, który ocenia każdy system plików lub aktywność sieciową, która wygląda jak JavaScript. Żeby było jasne, jest to interpreter JavaScript bez piaskownicy i bardzo uprzywilejowany, używany do oceny niezaufanego kodu, domyślnie we wszystkich nowoczesnych systemach Windows. To jest tak zaskakujące, jak się wydaje.