Spoločnosť Microsoft nedávno uverejnila bezpečnostné odporúčanie č. 4022344, v ktorom uvádza závažnú zraniteľnosť zabezpečenia v nástroji Malware Protection Engine.

Microsoft Malware Protection Engine

Tento nástroj používajú rôzne produkty spoločnosti Microsoft, napríklad Windows Defender a Microsoft Security Essentials, na spotrebiteľských počítačoch. Používajú ho tiež Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection alebo Windows Intune Endpoint Protection na strane podniku.

Zraniteľnosť, ktorá ovplyvnila všetky tieto produkty, by mohla umožniť vzdialené vykonanie kódu, ak program spustený v nástroji Microsoft Malware Protection Engine naskenoval vytvorený súbor.

Chyba zabezpečenia programu Windows Defender bola opravená

Tavis Ormandy a Natalie Silvanovich zo služby Google Project Zero objavili 6. mája 2017 „najhorší spustiteľný kód systému Windows spustený v poslednej pamäti“. Vedci spoločnosti Microsoft informovali o tejto zraniteľnosti a informácie boli pre verejnosť skryté, aby poskytli spoločnosti Opravte to 90 dní.

Microsoft rýchlo vytvoril opravu a vytlačil používateľom nové verzie programu Windows Defender a ďalšie.

Zákazníci Windows, ktorí majú na svojich zariadeniach spustené príslušné produkty, sa musia uistiť, že sú aktualizované.

Aktualizujte program v systéme Windows 10

• Klepnite na kláves Windows, napíšte Windows Defender a stlačte Enter pre načítanie programu.
• Ak spustíte aktualizáciu Windows 10 Creators, získate nové Centrum zabezpečenia programu Windows Defender.
• Kliknite na ikonu ozubeného kolieska.
• Na nasledujúcej stránke vyberte About.
• Skontrolujte verziu motora a uistite sa, že je aspoň 1.1.13704.0.

Aktualizácie programu Windows Defender sú dostupné prostredníctvom služby Windows Update. Ďalšie informácie o manuálnej aktualizácii produktov anti-malware spoločnosti Microsoft sú k dispozícii v centre Malware Protection na webovej stránke spoločnosti Microsoft.

Správa o zraniteľnosti spoločnosti Google na webovej stránke Project Zero

Tu je to:

Chyby zabezpečenia v službe MsMpEng patria medzi najzávažnejšie možné v systéme Windows, a to z dôvodu privilégií, prístupnosti a všadeprítomnosti služby.

Základná zložka MsMpEng zodpovedná za skenovanie a analýzu sa nazýva mpengine. Mpengine je rozsiahla a zložitá útočná plocha, ktorá pozostáva z ovládačov pre desiatky formátov ezoterického archívu, spustiteľných paketov a kryptorov, plných systémových emulátorov a tlmočníkov pre rôzne architektúry a jazyky atď. Celý tento kód je prístupný vzdialeným útočníkom.

NScript je komponent mpengine, ktorý vyhodnocuje akýkoľvek súborový systém alebo sieťovú aktivitu, ktorá vyzerá ako JavaScript. Aby sme to vyjasnili, jedná sa o interpreta JavaScript, ktorý nie je v skripte a je vysoko privilegovaný, ktorý sa štandardne používa na hodnotenie nedôveryhodného kódu vo všetkých moderných systémoch Windows. To je také prekvapujúce, ako to znie.