Bare her til morgen, vi skrev om den ”værste Windows fjernkørsel exec i nyere tid”opdaget af Google Project Zero forskere Tavis Ormandy og Natalie Silvanovich. Den skræmmende bug er nu offentliggjort, og er blevet identificeret som CVE-2017-0290. Fejlen var i Microsoft Malware Protection Engine kører i de fleste af Microsofts anti-malware værktøj følger med operativsystemet. Da det viser sig,, den MsMpEng motor var over-privilegerede og un-sandboxed.
Hvad er mest overraskende, dog, er, at Microsoft har formået at frigive en nødsituation patch i en Security Advisory.
Her er listen over berørte produkter:
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- Microsoft Forefront Security til SharePoint Service Pack 3
- Microsoft System Center Endpoint Protection
- Microsoft Security Essentials
- Windows Defender til Windows 7
- Windows Defender til Windows 8.1
- Windows Defender til Windows RT 8.1
- Windows Defender til Windows 10, Vinduer 10 1511, Vinduer 10 1607, Windows Server 2016, Vinduer 10 1703
- Windows Intune Endpoint Protection
Mere om CVE-2017-O290
Tilsyneladende, den MsMpEng motor kunne få fjernadgang via flere kritiske, allestedsnærværende Windows-tjenester, såsom Exchange og IIS webserver.
Ifølge Googles fejlrapport, "sårbarheder i MsMpEng er blandt de mest alvorlige muligt i Windows, på grund af det privilegium, tilgængelighed, og allestedsnærværende tjenesten".
på arbejdsstationer, angribere kan få adgang til mpengine ved at sende e-mails til brugere (at læse e-mail eller åbne vedhæftede filer er ikke nødvendig), besøger links i en webbrowser, instant messaging og så videre. Dette niveau af tilgængelighed er muligt, fordi MsMpEng bruger et filsystem minifilter at opsnappe og inspicere al systemet filsystem aktivitet, så skrive kontrollerede indhold til et sted på disken (f.eks. caches, midlertidige internetfiler, downloads (selv ubekræftede downloads), vedhæftede filer, etc) er nok til at få adgang til funktionaliteten i mpengine.
Som for opdateringerne, de vil blive skubbet automatisk til motoren i de næste to dage, Microsoft siger. Opdateringen løser en fejl, der kan tillade fjernkørsel af programkode, hvis Microsoft Malware Protection Engine scanner en særligt udformet fil. En hacker, som udnyttede held CVE-2017-0290 kunne udføre vilkårlig kode i sikkerhed rammerne af LocalSystem konto og tage kontrol over systemet, Microsoft tilføjer.