Microsoft исправила уязвимость в антивирусных инструментах Malware Protection Engine
Критическая проблема в Malware Protection Engine.
Microsoft выпускает обновления для всех своих продуктов на базе Malware Protection Engine - собственного антивирусного движка Microsoft. Это обновление устраняет критическую уязвимость, которуб ранее обнаружили эксперты Национального центра кибербезопасности Великобритании, официального органа, занимающегося вопросами кибербезопасности и разведки.
Уязвимость CVE-2017-11937 допускает удалённый запуск произвольного кода. Для этого злоумышленникам потребуется сформировать специальный файл и обеспечить к нему попытку доступа с компьютера потенциальной жертвы.
При проверке такого файла Microsoft Malware Protection Engine делает ошибку, вызывающую сбой в памяти, с помощью которого можно произвести запуск вредоносного кода в контексте имеющего большие привилегии системного аккаунта LocalSystem и захватить контроль над всем Windows-ПК.
После этого злоумышленник может устанавливать программы, просматривать, менять или удалять данные и создавать новые аккаунты в системе.
Атака по умолчанию
Вредоносный код можно отправить через почтовое сообщение, через IM или интегрировать в сайт, который должна посетить жертва; всё это подвергается проверке антивирусным движком Microsoft по умолчанию. Следовательно, по умолчанию же, возникают условия для эксплуатации уязвимости.
Malware Protection Engine входит в состав таких разработок Microsoft как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection и Windows Intune Endpoint Protection - на всех версиях операционной системы, начиная с Windows 7.
Обновления к Microsoft Malware Protection Engine устанавливаются автоматически, что означает, что не получить их можно только при условии однозначной блокировки обновлений MMPE (или отсутствия подключения к Сети).
К нынешнему времени не известны случаи злонамеренной эксплуатации уязвимости в Malware Protection Engine, однако обновление рекомендуется установить как можно скорее.