Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Новая уязвимость в Malware Protection Engine позволяет удаленно выполнить код и установить контроль над системой.
Microsoft выпустила внеочередное обновление для Malware Protection Engine, включив в него патч для критической уязвимости, позволяющей удаленно выполнить код и установить контроль над системой. Использование данной бреши в реальных атаках пока не зафиксировано.
Движок Microsoft Malware Protection Engine (mpengine.dll), интегрированный во многие антивирусные решения компании, обеспечивает сканирование, обнаружение и удаление вредоносного ПО. По этой причине серьезные баги в этом компоненте ставят под удар прежде всего системы Windows со встроенной защитой.
Согласно бюллетеню, новая уязвимость (CVE-2018-0986) затрагивает Microsoft Exchange Server 2013 и 2016, Microsoft Forefront Endpoint Protection 2010, Microsoft Security Essentials, Windows Intune Endpoint Protection, а также Windows Defender на всех серверных и клиентских Windows.
Эта уязвимость проявляется как нарушение целостности памяти при сканировании некоторых файлов в формате .rar. Обнаруживший брешь Томас Даллиен Thomas Dullien из Google Project Zero уверен, что в ее наличии повинен распаковщик rar-архивов — проект с открытым исходным кодом, который используется в антивирусном движке Microsoft в модифицированном виде.
В бюллетене Microsoft отмечено, что в случае успешной эксплуатации автор атаки сможет выполнить произвольный код в контексте процесса с привилегиями LocalSystem и захватить контроль над системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полным набором прав.
Подать вредоносный rar-файл на сканирование можно разными способами: через веб, электронную почту или IM-связь. При этом от пользователя не потребуется никаких дополнительных действий: при заходе на сайт или открытии присланного файла уязвимая система осуществит проверку, и эксплойт отработает. Можно также загрузить архив с эксплойт-кодом на файлообменник, и он будет просканирован прямо на сервере, если тот использует соответствующую защиту.
По словам Microsoft, ее движок сканирует файлы автоматически, если в антивирусном ПО включен режим защиты в реальном времени. В противном случае злоумышленнику придется ждать, когда скан запустится по расписанию.
Уязвимости CVE-2018-0986 подвержены все версии Microsoft Malware Protection Engine до 1.1.14600.4 включительно. Устраняющий ее выпуск 1.1.14700.5 будет установлен повсеместно через встроенный механизм автообновления.
Стоит отметить, что это далеко не первый RCE-баг, объявившийся в антивирусном движке Microsoft. Аналогичные бреши команда Google Project Zero находила и в прошлом году — в начале мая и в июне. Еще две уязвимости Microsoft залатала в плановом порядке в декабре — их обнаружили исследователи из британского Национального центра кибербезопасности (NCSC).
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |