Update immediately Windows Defender: Η Microsoft κυκλοφόρησε μια σιωπηρή ενημέρωση για μια ευπάθεια που επέτρεπε απομακρυσμένη εκτέλεση code in the anti-malware mechanism software (Malware Protection Engine) used by the Windows security software, Windows Defender which is available by default in Windows 10.
It was discovered on May 12 by its well-known security researcher Google Project Because Tavis Ormandy. The flaw existed in the MsMpEng x86 simulator, and could be exploited by intruders with some obscure executable file, mainly because it was not sandboxed.
“MsMpEng includes a full x86 system emulator that usesται για την εκτέλεση οποιωνδήποτε μη αξιόπιστων αρχείων που μοιάζουν με εκτελέσιμα archives PE. Ο εξομοιωτής εκτελείται σαν NT AUTHORITY\SYSTEM και δεν είναι sandboxed. Αναζητώντας τη λίστα των API win32 που υποστηρίζει ο εξομοιωτής, παρατήρησα το ntdll!NtControlChannel, μια ρουτίνα που μοιάζει με ioctl και επιτρέπει στον εξομοιωμένο κώδικα να ελέγχει τον εξομοιωτή” εξηγεί ο ειδικός ασφαλείας.
“The 0x0C command allows you to convert an attacker-controlled RegularExpressions to Microsoft GRETA (acase που εγκαταλείφθηκε από τις αρχές της δεκαετίας του 2000) …Η εντολή 0x12 σας επιτρέπει να φορτώσετε πρόσθετο μικροκώδικα που μπορεί να αντικαταστήσει τα opcodes … Διάφορες εντολές σας επιτρέπουν να αλλάξετε τις παραμέτρους εκτέλεσης Και να διαβάσετε τα χαρακτηριστικά σάρωσης και τα μεταdata of UFS. This at least looks like a privacy leak, as an attacker can look for the research attributes you set and then retrieve them through the scan results.”
Ormandy calls the security flaw "a potentially extremely malicious vulnerability." The researcher reported this new vulnerability to Microsoft privately and the company developed a fix for Windows Defender last week. To stay protected, you should have automatic updates enabled and running the latest version of Windows Defender.
Microsoft is yet to issue any official statement about it theme.