Британская разведка нашла «дыру» в антивирусе Windows

Безопасность Новости поставщиков Техника
мобильная версия
, Текст: Роман Георгиев
Корпорация Microsoft исправила в своих антивирусных инструментах уязвимость, которую впервые выявила разведка Великобритании.

Критическая проблема

Microsoft выпускает обновления для всех своих продуктов на базе Malware Protection Engine - собственного антивирусного движка Microsoft. Это обновление устраняет критическую уязвимость, которуб ранее обнаружили эксперты Национального центра кибербезопасности Великобритании, официального органа, занимающегося вопросами кибербезопасности и разведки.

Уязвимость CVE-2017-11937 допускает удалённый запуск произвольного кода. Для этого злоумышленникам потребуется сформировать специальный файл и обеспечить к нему попытку доступа с компьютера потенциальной жертвы.

При проверке такого файла Microsoft Malware Protection Engine делает ошибку, вызывающую сбой в памяти, с помощью которого можно произвести запуск вредоносного кода в контексте имеющего большие привилегии системного аккаунта LocalSystem и захватить контроль над всем Windows-ПК.

После этого злоумышленник может устанавливать программы, просматривать, менять или удалять данные и создавать новые аккаунты в системе.

Атака по умолчанию

Вредоносный код можно отправить через почтовое сообщение, через IM или интегрировать в сайт, который должна посетить жертва; всё это подвергается проверке антивирусным движком Microsoft по умолчанию. Следовательно, по умолчанию же, возникают условия для эксплуатации уязвимости.

В антивирусных инструментах Windows закрыта очень неприятная «дыра»

Malware Protection Engine входит в состав таких разработок Microsoft как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection и Windows Intune Endpoint Protection - на всех версиях операционной системы, начиная с Windows 7.

Обновления к Microsoft Malware Protection Engine выкатываются автоматически, что означает, что не получить их можно только при условии однозначной блокировки обновлений MMPE (или отсутствия подключения к Сети).

К нынешнему времени не известны случаи злонамеренной эксплуатации уязвимости в Malware Protection Engine, однако обновление рекомендуется установить как можно скорее.