Apenas esta manhã, escrevemos sobre o “pior exec de código remoto do Windows na memória recente” descoberto pelos pesquisadores do Google Project Zero Tavis Ormandy e Natalie Silvanovich. O bug aterrorizante agora é tornado público e foi identificado como CVE-2017-0290. O bug estava no Microsoft Malware Protection Engine em execução na maioria das ferramentas anti-malware da Microsoft empacotadas com o sistema operacional. Como se vê, o mecanismo MsMpEng foi superprivilegiado e sem sandbox.
O que é mais surpreendente, Contudo, é que a Microsoft conseguiu lançar um patch de emergência em um alerta de segurança.
Aqui está a lista de produtos afetados:
- Proteção do Microsoft Forefront Endpoint 2010
- Proteção de ponto final da Microsoft
- Service Pack do Microsoft Forefront Security para SharePoint 3
- Proteção de endpoint do Microsoft System Center
- Microsoft Security Essentials
- Windows Defender para Windows 7
- Windows Defender para Windows 8.1
- Windows Defender para Windows RT 8.1
- Windows Defender para Windows 10, janelas 10 1511, janelas 10 1607, Windows Server 2016, janelas 10 1703
- Proteção de endpoint do Windows Intune
Mais sobre CVE-2017-O290
Pelo visto, o mecanismo MsMpEng pode ser acessado remotamente por meio de vários, serviços onipresentes do Windows, como o Exchange e o servidor web IIS.
De acordo com o relatório de erro, “vulnerabilidades em MsMpEng estão entre as mais graves possíveis no Windows, devido ao privilégio, acessibilidade, e onipresença do serviço”.
Em estações de trabalho, os atacantes podem acessar o mpengine enviando e-mails aos usuários (ler o e-mail ou abrir anexos não é necessário), visitando links em um navegador da web, mensagens instantâneas e assim por diante. Este nível de acessibilidade é possível porque MsMpEng usa um minifiltro de sistema de arquivos para interceptar e inspecionar todas as atividades do sistema de arquivos, então escrever conteúdos controlados em qualquer lugar do disco (por exemplo. caches, arquivos temporários de Internet, Transferências (até mesmo downloads não confirmados), anexos, etc) é o suficiente para acessar a funcionalidade no mpengine.
Quanto às atualizações, eles serão colocados automaticamente no motor nos próximos dois dias, Microsoft diz. A atualização corrige uma falha que pode permitir a execução remota de código se o Mecanismo de proteção contra malware da Microsoft verificar um arquivo especialmente criado. Um invasor que explorou com êxito CVE-2017-0290 pode executar código arbitrário no contexto de segurança da conta LocalSystem e assumir o controle do sistema, Microsoft adiciona.