Microsoft a publicat recent Security Advisory 4022344, anunțând o vulnerabilitate severă a securității în Motor Malware Protection.

Motorul de protecție împotriva programelor malware Microsoft

Acest instrument este folosit de diverse produse Microsoft, cum ar fi Windows Defender și Microsoft Security Essentials pe PC-urile de consum. De asemenea, este utilizat de Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection sau Windows Intune Endpoint Protection din partea afacerii.

Vulnerabilitatea care a afectat toate aceste produse ar putea permite executarea de la distanță a codului dacă un program care rulează Microsoft Malware Protection Engine scanează un fișier elaborat.

S-a remediat vulnerabilitatea Windows Defender

Tavis Ormandy și Natalie Silvanovich, de la Google Project Zero, au descoperit „cel mai rău execuție a codului de la distanță Windows din memoria recentă” pe 6 mai 2017. Cercetătorii au spus Microsoft despre această vulnerabilitate, iar informațiile au fost păstrate ascunse publicului pentru a da companiei. 90 de zile pentru a-l repara.

Microsoft a creat rapid un patch și a extins versiuni noi de Windows Defender și mai mult către utilizatori.

Clienții Windows care au produsele afectate care rulează pe dispozitivele lor trebuie să se asigure că sunt actualizate.

Actualizați programul pe Windows 10

• Atingeți tasta Windows, tastați Windows Defender și apăsați Enter pentru a încărca programul.
• Dacă executați Windows 10 Creators Update, veți primi noul Windows Defender Security Center.
• Faceți clic pe pictograma rotativă.
• Selectați Despre pagina următoare.
• Verificați versiunea motorului pentru a vă asigura că este cel puțin 1.1.13704.0.

Actualizările Windows Defender sunt disponibile prin Windows Update. Mai multe informații despre actualizarea manuală a produselor anti-malware Microsoft sunt disponibile pe centrul de protecție împotriva programelor malware, pe site-ul Microsoft.

Raport de vulnerabilitate Google pe site-ul web Project Zero

Aici este:

Vulnerabilitățile din MsMpEng sunt printre cele mai grave posibil în Windows, datorită privilegiului, accesibilității și ubicuității serviciului.

Componenta de bază a MsMpEng responsabilă de scanare și analiză este numită mpengine. Mpengine este o suprafață de atac vastă și complexă, care cuprinde manevre pentru zeci de formate de arhive ezoterice, ambalatoare și criptoare executabile, emulatoare și interpretări cu sistem complet pentru arhitecturi și limbi, etc. Tot acest cod este accesibil atacatorilor de la distanță.

NScript este componenta mpengine care evaluează orice sistem de fișiere sau activitate de rețea care arată ca JavaScript. Pentru a fi clar, acesta este un interpret JavaScript nesandboxed și extrem de privilegiat, care este utilizat pentru a evalua codul de încredere, implicit pe toate sistemele moderne Windows. Acest lucru este la fel de surprinzător pe cât sună.