Microsoft випустила позапланове оновлення безпеки, що виправляє вразливість (CVE-2018-0986) у Microsoft Malware Protection Engine (MMPE).

MMPE (mpengine.dll) є компонентом ряду антивірусних рішень, таких як Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Windows Intune Endpoint Protection та Microsoft Forefront Endpoint Protection. Компонент призначений для сканування, виявлення та видалення шкідливого програмного забезпечення.

Виявлена ​​дослідником Google Project Zero Томасом Даллієном (Thomas Dullien) уразливість у MMPE дозволяє виконати код на системі. Оскільки компонент запускається з привілеями системи, її експлуатація може надати повному контролю над комп'ютером. Microsoft оцінила вразливість як критичну.

Проексплуатувати вразливість нескладно. Атакуючий може додати шкідливий код у JavaScript-файли на відвідуваному жертвою сайті, на додаток до електронних листів або відправити заражений файл через сервіс миттєвого обміну повідомленнями. Оскільки MMPE за замовчуванням автоматично сканує всі вхідні файли, для вразливості участь жертви не потрібна.

У Windows 10 рішення Windows Defender активовано за умовчанням, а значить, система спочатку є вразливою та потребує оновлення.

Компонент MMPE отримує оновлення окремо від оновлень ОС, а значить Microsoft може непомітно доставляти необхідні патчі без участі користувачів. Вразливість виправлена ​​у версії MMPE 1.1.14700.5, яка буде доставлена ​​до комп'ютерів користувачів протягом 48 годин з моменту виходу. Оновлення не буде встановлено на системи, де доставку оновлень для MMPE було заблоковано адміністратором або власником ПК через локальні політики.