Proprio questa mattina, abbiamo scritto sulla “peggiore exec codice remoto di Windows in memoria recente”scoperto dai ricercatori di Google Project Zero Tavis Ormandy e Natalie Silvanovich. Il bug terribile è ora reso pubblico ed è stato identificato come CVE-2017-0290. Il bug era in Microsoft Malware Protection Engine esecuzione nella maggior parte di strumenti anti-malware di Microsoft in bundle con il sistema operativo. Come risulta, il motore MsMpEng era troppo privilegiati e non-sandbox.
Ciò che è più sorprendente, tuttavia, è che Microsoft è riuscita a rilasciare una patch di emergenza in un advisory di sicurezza.
Ecco l'elenco dei prodotti interessati:
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- Microsoft Forefront Security per SharePoint Service Pack 3
- System Center Endpoint Protection di Microsoft
- Microsoft Security Essentials
- Windows Defender per Windows 7
- Windows Defender per Windows 8.1
- Windows Defender per Windows RT 8.1
- Windows Defender per Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703
- Windows Intune Endpoint Protection
Di più su CVE-2017-O290
Apparentemente, il motore potrebbe MsMpEng remotamente tramite vari critica, servizi onnipresenti di Windows, ad esempio Exchange e il server Web IIS.
Secondo Google di riportare un errore, "vulnerabilità in MsMpEng sono tra i possibili più grave in Windows, a causa del privilegio, accessibilità, e l'ubiquità del servizio".
Sulle workstation, attaccanti possono accedere mpengine con l'invio di messaggi di posta elettronica per gli utenti (leggere l'e-mail o aprire allegati non è necessario), visita link in un browser web, messaggistica istantanea e così via. Questo livello di accessibilità è possibile perché MsMpEng utilizza un mini-filesystem di intercettare e controllare tutte le attività di sistema system, in modo da scrivere contenuti controllati in qualsiasi punto del disco (e.g. cache, file temporanei di Internet, Scarica (anche download non confermati), allegati, etc) è sufficiente per accedere alle funzionalità in mpengine.
Per quanto riguarda gli aggiornamenti, essi saranno spinti automaticamente al motore nei prossimi due giorni, Microsoft dice. L'aggiornamento risolve una falla che potrebbe consentire l'esecuzione di codice in modalità remota se il Microsoft Malware Protection Engine esegue la scansione di un file appositamente predisposto. Un utente malintenzionato che riesca a sfruttare CVE-2017-0290 di eseguire codice arbitrario nel contesto di protezione dell'account LocalSystem e prendere il controllo del sistema, Microsoft aggiunge.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: