Microsoft нещодавно опублікувала Консультативне забезпечення щодо безпеки 4022344, оголосивши про вразливу безпеку в Механіці захисту від шкідливих програм.

Система захисту від шкідливих програм Microsoft

Цей інструмент використовується різними продуктами Microsoft, такими як Windows Defender та Microsoft Security Essentials на споживчих ПК. Він також використовується Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection або Windows Intune Endpoint Protection з боку бізнесу.

Уразливість, яка вплинула на всі ці продукти, могла б забезпечити віддалене виконання коду, якщо програма, що працює з програмою Microsoft Malware Protection Engine, сканувала створений файл.

Виправлена ​​вразливість в Windows Defender

6 травня 2017 року Тавіс Орманді та Наталі Сільванович з Google Project Zero виявили «найгірший віддалений код Windows в останній пам’яті». Дослідники розповіли Microsoft про цю вразливість, і інформація зберігалася прихованою від громадськості для того, щоб надати компанії 90 днів, щоб виправити це.

Microsoft швидко створила виправлення та висунула користувачам нові версії Windows Defender та багато іншого.

Клієнти Windows, на яких на своїх пристроях запущені продукти, повинні перевірити їх оновлення.

Оновіть програму на Windows 10

• Торкніться клавіші Windows, введіть Windows Defender та натисніть клавішу Enter, щоб завантажити програму.
• Якщо ви запустите оновлення Windows 10 Creators, ви отримаєте новий Центр безпеки Windows Defender.
• Клацніть значок шестірні.
• Виберіть About на наступній сторінці.
• Перевірте версію двигуна, щоб переконатися, що принаймні 1.1.13704.0.

Оновлення Windows Defender доступні через оновлення Windows. Більше інформації про оновлення продуктів від зловмисного програмного забезпечення Microsoft вручну розміщено в Центрі захисту від зловмисних програм на веб-сайті Microsoft.

Звіт про вразливість Google на веб-сайті Project Zero

Ось:

Уразливості в MsMpEng є одними з найбільш серйозних можливих в Windows, завдяки привілею, доступності та повсюдності служби.

Основний компонент MsMpEng, відповідальний за сканування та аналіз, називається mpengine. Mpengine - це обширна і складна поверхня атаки, що складається з обробників для десятків езотеричних форматів архівів, виконуваних пакувальників і крипторів, повних системних емуляторів та інтерпретаторів для різних архітектур та мов тощо. Весь цей код доступний віддаленим зловмисникам.

NScript - компонент mpengine, який оцінює будь-яку файлову систему або мережеву діяльність, схожу на JavaScript. Зрозуміло, що це неізольований і дуже привілейований інтерпретатор JavaScript, який використовується для оцінки ненадійного коду за замовчуванням у всіх сучасних системах Windows. Це настільки дивно, як звучить.