RU EN

В Microsoft Malware Protection Engine закрыта еще одна RCE

27.06.2017

Участники ИБ-проекта Google Project Zero продолжают искать слабые места в модуле Microsoft Malware Protection Engine, лежащем в основе многих защитных продуктов, встроенных в Windows, и неизменно находят новые критические уязвимости. Одна из новейших находок, грозящих удаленным выполнением кода, была приватно раскрыта Тэвисом Орманди (Tavis Ormandy) 7 июня и пропатчена в минувшую пятницу.

Новая RCE-уязвимость присутствовала в том же не защищенном песочницей эмуляторе системы x86, который Microsoft без лишнего шума залатала в конце мая. Это уже третья брешь в MsMpEng, обнаруженная и закрытая стараниями Орманди за последние два месяца.

В своем отчете, доступ к которому был открыт после раздачи патча, исследователь отметил, что фатальную ошибку памяти вида heap corruption в API-интерфейсе KERNEL32.DLL!VFS_Write ему помог выявить специально созданный фаззер. «Я подозреваю, что фаззинг на этот предмет ни разу не производился», – сетует Орманди.

Уязвимый эмулятор используется для исполнения недоверенных файлов, которые могут иметь формат PE. По словам исследователя, команда apicall, вызывающая «большое количество API эмулятора», доступна удаленно. В Microsoft ему пояснили, что это сделано намеренно «по ряду причин».

Сам разработчик объяснил наличие уязвимости ошибкой, которая возникает, когда MsMpEng сканирует специально созданный файл. В результате происходит нарушение целостности памяти. «В случае успешного эксплойта атакующий получит возможность исполнить произвольный код в контексте безопасности учетной записи LocalSystem и захватить контроль над системой, – сказано в бюллетене Microsoft. – В итоге злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные или создавать новые аккаунты с полным набором прав пользователя».

Вредоносный файл может быть размещен на сайте, куда пользователя придется заманить. Эксплойт также может быть доставлен по электронной почте или IM-каналу. «Если в уязвимом антивирусном ПО включена защита реального времени, Microsoft Malware Protection Engine автоматически просканирует файлы, что приведет к эксплуатации уязвимости при сканировании специально созданного файла, – пишет Microsoft. – Если сканирование в реальном времени отключено, атакующему придется ждать планового скана, чтобы осуществить эксплойт. Риску прежде всего подвержены все системы, в которых работает уязвимое антивирусное ПО».

MsMpEng используется в ряде защитных продуктов компании, в том числе в Microsoft Endpoint Protection, Microsoft Forefront Endpoint Protection, Windows Defender и Microsoft Intune Endpoint Protection. По словам разработчика, баг затрагивает лишь системы с архитектурой x86 и 32-битные версии MsMpEng. В большинстве случаев обновление будет принудительно раздаваться на компьютеры пользователей в автоматическом режиме.

Первая уязвимость в MsMpEng, обнаруженная Орманди и другим участником Project Zero, Натали Силванович (Natalie Silvanovich), была устранена 8 мая. Патч для этой бреши, которую исследователи назвали «худшей Windows-уязвимостью за последнее время», вышел вне графика. Позднее, 25 мая, Microsoft без публикации бюллетеня выпустила первую заплатку для эмулятора.

threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.