Ernstige CVE-2017-0290 in MsMpEng gaat worden opgelapt
NIEUWS

Ernstige CVE-2017-0290 in MsMpEng Ongeveer te worden opgelapt

Vanochtend, schreven we over de “slechtste Windows remote code exec in de recente geschiedenis”ontdekt door Google Project Zero onderzoekers Tavis Ormandy en Natalie Silvanovich. De angstaanjagende bug is nu openbaar gemaakt worden en is geïdentificeerd als CVE-2017-0290. De bug is in de Microsoft Malware Protection Engine lopen in de meeste anti-malware Microsoft tools gebundeld met het besturingssysteem. Zoals het blijkt, de MsMpEng motor was over-bevoorrechte en niet-sandboxed.

Wat is het meest verrassende, echter, is dat Microsoft is erin geslaagd om een ​​noodsituatie patch vrij te geven in een beveiligingsadvies.

Hier is de lijst van de betrokken producten:

  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Endpoint Protection
  • Microsoft Forefront Security for SharePoint Service Pack 3
  • Microsoft System Center Endpoint Protection
  • Microsoft Security Essentials
  • Windows Defender voor Windows 7
  • Windows Defender voor Windows 8.1
  • Windows Defender voor Windows RT 8.1
  • Windows Defender voor Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703
  • Windows Intune Endpoint Protection

Meer over CVE-2017-O290

Blijkbaar, de MsMpEng engine kan op afstand worden benaderd via een aantal cruciale, alomtegenwoordige Windows-services, zoals Exchange en de IIS-webserver.

Volgens Google's bug report, "kwetsbaarheden in MsMpEng behoren tot de meest ernstige mogelijk in Windows, als gevolg van het voorrecht, toegankelijkheid, en de alomtegenwoordigheid van de dienst".

op werkstations, aanvallers toegang mpengine door e-mails te sturen naar gebruikers (het lezen van de e-mail of het openen van bijlagen is niet nodig), een bezoek aan koppelingen in een webbrowser, instant messaging en ga zo maar door. Dit niveau van toegankelijkheid is mogelijk omdat MsMpEng maakt gebruik van een bestandssysteem minifilter onderscheppen en controleren alle systeem bestandssysteem activiteit, dus het typen gecontroleerde inhoud om overal op de harde schijf (b.v.. caches, tijdelijke internetbestanden, downloads (zelfs onbevestigde downloads), toebehoren, etc) is genoeg om toegang te krijgen tot de functionaliteit in mpengine.

Wat betreft de updates, ze zullen automatisch worden geduwd om de motor in de komende twee dagen, Microsoft zegt. De update wordt het probleem opgelost waardoor externe code kan worden uitgevoerd als de Microsoft Malware Protection-engine een speciaal vervaardigd bestand scant. Een aanvaller die erin slaagt misbruik CVE-2017-0290, kan willekeurige code in de beveiligde context van de LocalSystem-account uit te voeren en de controle van het systeem, Microsoft voegt.

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum voor 4 jaar. Geniet ‘Mr. Robot’en angsten‘1984’. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen!

Meer berichten

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...