ちょうど今朝, 私たちは「最悪のWindowsリモートコードexec GoogleProjectZeroの研究者であるTavisOrmandyとNatalieSilvanovichによって発見された「最近の記憶に」. 恐ろしいバグが公開され、CVE-2017-0290として識別されました. バグは、オペレーティングシステムにバンドルされているMicrosoftのマルウェア対策ツールのほとんどで実行されているMicrosoft MalwareProtectionEngineにありました。. それが判明したとして, MsMpEngエンジンは特権が過剰で、サンドボックス化されていませんでした.
最も驚くべきこと, でも, マイクロソフトが緊急パッチのリリースに成功したということです セキュリティアドバイザリ.
影響を受ける製品のリストは次のとおりです:
- Microsoft Forefront Endpoint Protection 2010
- Microsoftエンドポイント保護
- Microsoft Forefront Security for SharePoint Service Pack 3
- MicrosoftSystemCenterエンドポイント保護
- マイクロソフト・セキュリティ・エッセンシャルズ
- Windows用のWindowsDefender 7
- Windows用のWindowsDefender 8.1
- WindowsRT用のWindowsDefender 8.1
- Windows用のWindowsDefender 10, ウィンドウズ 10 1511, ウィンドウズ 10 1607, Windows Server 2016, ウィンドウズ 10 1703
- WindowsIntuneエンドポイント保護
CVE-2017-O290の詳細
どうやら, MsMpEngエンジンは、いくつかの重要な方法でリモートアクセスできます。, ユビキタスWindowsサービス, ExchangeやIISWebサーバーなど.
グーグルによると バグレポート, 「「MsMpEngの脆弱性は、Windowsで発生する可能性のある最も深刻な脆弱性の1つです。, 特権のため, アクセシビリティ, とサービスのユビキタス」.
ワークステーションの場合, 攻撃者はユーザーに電子メールを送信することでmpengineにアクセスできます (メールを読んだり、添付ファイルを開いたりする必要はありません), Webブラウザでリンクにアクセスする, インスタントメッセージングなど. MsMpEngはファイルシステムミニフィルターを使用してすべてのシステムファイルシステムアクティビティを傍受および検査するため、このレベルのアクセシビリティが可能です。, したがって、制御されたコンテンツをディスク上の任意の場所に書き込む (例えば. キャッシュ, インターネット一時ファイル, ダウンロード (未確認のダウンロードでも), 添付ファイル, 等) mpengineの機能にアクセスするには十分です.
アップデートは, 次の2日で自動的にエンジンにプッシュされます, マイクロソフトは言う. この更新プログラムは、Microsoftマルウェア保護エンジンが特別に細工されたファイルをスキャンした場合にリモートでコードが実行される可能性のある欠陥に対処します. CVE-2017-0290の悪用に成功した攻撃者は、LocalSystemアカウントのセキュリティコンテキストで任意のコードを実行し、システムを制御する可能性があります, マイクロソフトは追加します.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: