Microsoft выпустила внеплановое обновление безопасности, исправляющее уязвимость (CVE-2018-0986) в Microsoft Malware Protection Engine (MMPE).

MMPE (mpengine.dll) является компонентом ряда антивирусных решений, таких как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Windows Intune Endpoint Protection и Microsoft Forefront Endpoint Protection. Компонент предназначен для сканирования, обнаружения и удаления вредоносного ПО.

Обнаруженная исследователем Google Project Zero Томасом Даллиеном (Thomas Dullien) уязвимость в MMPE позволяет выполнить код на системе. Поскольку компонент запускается с привилегиями системы, ее эксплуатация может предоставить атакующему полный контроль над компьютером. Microsoft оценила уязвимость как критическую.

Проэксплуатировать уязвимость несложно. Атакующий может добавить вредоносный код в JavaScript-файлы на посещаемом жертвой сайте, во вложение к электронным письмам или отправить зараженный файл через сервис мгновенного обмена сообщениями. Поскольку MMPE по умолчанию автоматически сканирует все входящие файлы, для эксплуатации уязвимости участие жертвы не требуется.

В Windows 10 решение Windows Defender активировано по умолчанию, а значит, система изначально является уязвимой и требует обновления.

Компонент MMPE получает обновления отдельно от обновлений ОС, а значит, Microsoft может незаметно доставлять необходимые патчи без участия пользователей. Уязвимость исправлена в версии MMPE 1.1.14700.5, которая будет доставлена на компьютеры пользователей в течение 48 часов с момента выхода. Обновление не будет установлено на системы, где доставка обновлений для MMPE была заблокирована администратором или владельцем ПК через локальные политики.