Уязвимость была обнаружена 12 мая 2017 года исследователем проекта Project Zero от Google Тависом Орманди (Tavis Ormandy). Проблема заключалась в эмуляторе MsMpEng x86, который мог быть взломан киберпреступниками с помощью модифицированного исполняемого файла, который не выполнялся в песочнице.
Исследователь безопасности поясняет: “MsMpEng включает полный эмулятор системы x86, который используется для запуска неизвестных файлов, которые выглядят как переносимые исполняемые файлы (PE executables). Эмулятор запускается как NT AUTHORITY\SYSTEM и не виртуализируется в песочнице. При анализе списка поддерживаемых эмулятором win32 API было замечено, что многоцелевая функция управления вводом-выводом ntdll!NtControlChannel позволяет эмулируемому коду получать контроль на самим эмулятором”.
Тавис раскрыл технические подробности проблемы: “Команда 0x0C позволяет интерпретировать контролируемые атакующим лицом регулярные выражения для библиотеки Microsoft GRETA, поддержка которой была прекращена в начале 2000-х годов. Команда 0x12 позволяет загружать дополнительный “микрокод”, который может заменить коды операций. Различные команды позволяют изменять параметры выполнения, устанавливать и считывать атрибуты сканирования и метаданные UFS. В результате мы имеем дело с утечкой конфиденциальности, так как злоумышленник может запросить атрибуты исследования, которые вы установили, а затем извлечь результаты сканирования”.
“Очень неприятная уязвимость”
Орманди называет данную проблему безопасности “очень неприятной уязвимостью” и отмечает, что ее эксплуатация не является сложной в сравнении с уязвимостью, обнаруженной в начале мая и исправленной Microsoft за рекордное время.
С другой стороны, Microsoft была проинформирована об обнаруженной проблеме по приватным каналам. Редмонд выпустил исправление еще на прошлой неделе. Чтобы обеспечить защиты своих систем, включите автоматическое обновление и используйте Защитник Windows с новейшими вирусными определениями.
Данная ситуация еще раз демонстрирует, как критически важно использовать автоматические обновления системы. Microsoft начинает развертывание патчей и обновлений сразу после того, как они становятся доступны. Если автоматические обновления отключены, то установка обновления займет больше времени, что в некоторых случаях может быть критично, потому что хакеры постоянно ищут возможности для атаки.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России