Microsoft je nedavno objavio sigurnosno savjetovanje 4022344, najavljujući ozbiljnu sigurnosnu ranjivost u mehanizmu zaštite od zlonamjernog softvera.

Microsoftov motor za zaštitu od zlonamjernog softvera

Ovaj alat koriste se razni Microsoftovi proizvodi kao što su Windows Defender i Microsoft Security Essentials na osobnim računalima. Koriste ga i Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection ili Windows Intune Endpoint Protection s poslovne strane.

Ranjivost koja je utjecala na sve ove proizvode mogla bi omogućiti udaljeno izvršenje koda ako je program koji pokreće Microsoftov mehanizam za zaštitu od zlonamjernog softvera skenirao izrađenu datoteku.

Otklonjena je ranjivost Windows Defendera

Tavis Ormandy i Natalie Silvanovich iz Google Project Zero otkrili su „najgori Windows daljinski egzekcijski kod u nedavnoj memoriji“ 6. ^svibnja 2017. Istraživači su rekli Microsoftu o ovoj ranjivosti i podaci su bili skriveni od javnosti kako bi kompanija mogla 90 dana za popravljanje.

Microsoft je brzo stvorio zakrpu i korisnicima iznio nove verzije sustava Windows Defender i više.

Kupci sustava Windows koji imaju pogođene proizvode na svojim uređajima moraju biti sigurni da su ažurirani.

Ažurirajte program na Windows 10

• Dodirnite tipku Windows, upišite Windows Defender i pritisnite Enter da biste učitali program.
• Ako pokrenete Ažuriranje za Windows 10 Creators, dobit ćete novi sigurnosni centar Windows Defender.
• Kliknite ikonu zupčanika.
• Izaberite About na sljedećoj stranici.
• Provjerite verziju motora i provjerite je li najmanje 1.1.13704.0.

Ažuriranja sustava Windows Defender dostupna su putem servisa Windows Update. Više informacija o ručnom ažuriranju Microsoftovih proizvoda protiv zlonamjernog softvera dostupno je u centru za zaštitu od zlonamjernog softvera na Microsoftovom web mjestu.

Google izvješće o ranjivosti na web stranici Project Zero

Evo ga:

Ranjivosti u MsMpEng-u su među najtežim mogućim u sustavu Windows, zbog privilegiranosti, pristupačnosti i sveprisutnosti usluge.

Osnovna komponenta MsMpEng koja je odgovorna za skeniranje i analizu naziva se mpengin. Mpengine je ogromna i složena površina napada, koja se sastoji od alata za obradu desetaka ezoteričnih arhivskih formata, izvršnih pakera i kriptovara, punih emulatora sustava i tumača za razne arhitekture i jezike, i tako dalje. Sav ovaj kod dostupan je udaljenim napadačima.

NScript je komponenta mpengine koja procjenjuje bilo koji datotečni sustav ili mrežne aktivnosti koje izgledaju kao JavaScript. Da budemo jasni, ovo je neprilagođeni i visoko privilegirani JavaScript interpreter koji se prema zadanim postavkama koristi za procjenu nepouzdanog koda na svim modernim Windows sustavima. To je iznenađujuće koliko i zvuči.