Vanochtend, schreven we over de “slechtste Windows remote code exec in de recente geschiedenis”ontdekt door Google Project Zero onderzoekers Tavis Ormandy en Natalie Silvanovich. De angstaanjagende bug is nu openbaar gemaakt worden en is geïdentificeerd als CVE-2017-0290. De bug is in de Microsoft Malware Protection Engine lopen in de meeste anti-malware Microsoft tools gebundeld met het besturingssysteem. Zoals het blijkt, de MsMpEng motor was over-bevoorrechte en niet-sandboxed.
Wat is het meest verrassende, echter, is dat Microsoft is erin geslaagd om een noodsituatie patch vrij te geven in een beveiligingsadvies.
Hier is de lijst van de betrokken producten:
- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- Microsoft Forefront Security for SharePoint Service Pack 3
- Microsoft System Center Endpoint Protection
- Microsoft Security Essentials
- Windows Defender voor Windows 7
- Windows Defender voor Windows 8.1
- Windows Defender voor Windows RT 8.1
- Windows Defender voor Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703
- Windows Intune Endpoint Protection
Meer over CVE-2017-O290
Blijkbaar, de MsMpEng engine kan op afstand worden benaderd via een aantal cruciale, alomtegenwoordige Windows-services, zoals Exchange en de IIS-webserver.
Volgens Google's bug report, "kwetsbaarheden in MsMpEng behoren tot de meest ernstige mogelijk in Windows, als gevolg van het voorrecht, toegankelijkheid, en de alomtegenwoordigheid van de dienst".
op werkstations, aanvallers toegang mpengine door e-mails te sturen naar gebruikers (het lezen van de e-mail of het openen van bijlagen is niet nodig), een bezoek aan koppelingen in een webbrowser, instant messaging en ga zo maar door. Dit niveau van toegankelijkheid is mogelijk omdat MsMpEng maakt gebruik van een bestandssysteem minifilter onderscheppen en controleren alle systeem bestandssysteem activiteit, dus het typen gecontroleerde inhoud om overal op de harde schijf (b.v.. caches, tijdelijke internetbestanden, downloads (zelfs onbevestigde downloads), toebehoren, etc) is genoeg om toegang te krijgen tot de functionaliteit in mpengine.
Wat betreft de updates, ze zullen automatisch worden geduwd om de motor in de komende twee dagen, Microsoft zegt. De update wordt het probleem opgelost waardoor externe code kan worden uitgevoerd als de Microsoft Malware Protection-engine een speciaal vervaardigd bestand scant. Een aanvaller die erin slaagt misbruik CVE-2017-0290, kan willekeurige code in de beveiligde context van de LocalSystem-account uit te voeren en de controle van het systeem, Microsoft voegt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: