Ce matin, nous avons écrit au sujet de la «pire code de Windows à distance exec dans la mémoire récente » découverte par Google chercheurs Zéro Tavis Ormandy et Natalie Silvanovich. Le bug terrifiant est maintenant rendue publique et a été identifié comme CVE-2017-0290. Le bogue a été dans le fonctionnement du moteur Microsoft Malware Protection dans la plupart des outils anti-malware de Microsoft livré avec le système d'exploitation. Comme il s'avère, le moteur MsMpEng était trop privilégié et non sandbox.
Ce qui est le plus surprenant, cependant, est que Microsoft a réussi à libérer un correctif d'urgence dans un avis de sécurité.
Voici la liste des produits concernés:
- Endpoint Protection Microsoft Forefront 2010
- Protection Microsoft Endpoint
- Microsoft Forefront Security pour SharePoint Service Pack 3
- Microsoft System Center Endpoint Protection
- Microsoft Security Essentials
- Windows Defender pour Windows 7
- Windows Defender pour Windows 8.1
- Windows Defender pour Windows RT 8.1
- Windows Defender pour Windows 10, Fenêtres 10 1511, Fenêtres 10 1607, Windows Server 2016, Fenêtres 10 1703
- Windows Intune Endpoint Protection
En savoir plus sur CVE-2017-O290
Apparemment, le moteur MsMpEng pourrait être accessible à distance via plusieurs critiques, services omniprésents de Windows, comme Exchange et le serveur Web IIS.
Selon Google rapport d'erreur, "Des vulnérabilités dans MsMpEng sont parmi les plus sévères possibles dans Windows, en raison du privilège, accessibilité, et l'ubiquité du service".
sur les postes de travail, les attaquants peuvent accéder mpengine en envoyant des courriels aux utilisateurs (lire l'e-mail ou ouvrir les pièces jointes ne sont pas nécessaires), visite des liens dans un navigateur web, la messagerie instantanée et ainsi de suite. Ce niveau d'accessibilité est possible parce que MsMpEng utilise un système de fichiers minifiltres pour intercepter et inspecter toutes les activités du système de fichiers du système, afin d'écrire le contenu contrôlé partout sur le disque (e.g. caches, fichiers Internet temporaires, téléchargements (téléchargements même non confirmées), pièces jointes, etc) est suffisant pour accéder aux fonctionnalités mpengine.
En ce qui concerne les mises à jour, ils seront poussés automatiquement au moteur dans les deux prochains jours, Microsoft dit. La mise à jour corrige une faille qui pourrait permettre l'exécution de code à distance si le moteur Microsoft Malware Protection scanne un fichier spécialement conçu. Un attaquant qui CVE-2017-0290 exploité avec succès pourrait exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle du système, Microsoft ajoute.