Microsoft виправила вразливість у антивірусних інструментах Malware Protection Engine
Критична проблема в Malware Protection Engine.
Уразливість CVE-2017-11937 допускає віддалений запуск довільного коду. Для цього зловмисникам потрібно буде сформувати спеціальний файл і забезпечити до нього спробу доступу з комп'ютера потенційної жертви.
При перевірці такого файлу Microsoft Malware Protection Engine робить помилку, що викликає збій у пам'яті, з за допомогою якого можна зробити запуск шкідливого коду в контексті системного облікового запису LocalSystem, що має великі привілеї, і захопити контроль над усім Windows-ПК.
Після цього зловмисник може встановлювати програми, переглядати, змінювати або видаляти дані та створювати нові облікові записи в системі.
Атака за замовчуванням
Шкідливий код можна надіслати через поштове повідомлення, через IM або інтегрувати в сайт, який має відвідати жертва; все це піддається перевірці антивірусним двигуном Microsoft за умовчанням. Отже, за умовчанням виникають умови для експлуатації вразливості.
Malware Protection Engine входить до таких розробок Microsoft як Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection та Windows Intune Endpoint Protection - на всіх версіях операційної системи, починаючи з Windows 7.
Оновлення Microsoft Malware Protection Engine встановлюються автоматично, що означає, що не отримати їх можна тільки за умови однозначного блокування оновлень MMPE (або відсутності підключення до Мережі).
Наразі невідомі випадки зловмисної експлуатації вразливості в Malware Protection Engine, проте оновлення рекомендується встановити якнайшвидше.