Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ekstremalnie poważna podatność w… domyślnie instalowanym antymalware Microsoftu. Podatne wszystkie Windowsy 8, 8.1, 10
Tym razem podatny pokazał się MsMpEng czyli Malware Protection service, włączony domyślnie na Windows 8, 8.1, 10 i niektórych wersjach serwerowych. Microsoft wypuścił patcha w 2 dni (!).
MsMpEng automatycznie skanuje pliki przesyłane do chronionego Windowsa (niezależnie od tego czy są wysyłane np. mailem, ściągane przeglądarką czy znajdujące się na pendrive). Jak to bywa z systemami antymalware, nie jest w tym przypadku konieczne nawet otwarcie pliku (np. w postaci załącznika z maila).
Co dalej?
Załodze z Googlowego Project Zero udało się znaleźć nieuwierzytelnione wykonanie kodu w systemie antymalware Microsoftu. Oznacza to więc że wystarczy np. wysłać do kogoś odpowiednio zainfekowanego maila i w zasadzie bez żadnej interakcji ofiary mamy wykonanie kodu na Windows i to z pełnymi uprawnieniami NT AUTHORITY\SYSTEM.
Ekipa z Google określiła to wręcz tak:
Vulnerabilities in MsMpEng are among the most severe possible in Windows, due to the privilege, accessibility, and ubiquity of the service.
Jeśli ktoś chce przetestować czy jest podatny może wejść tutaj i pobrać załącznik. Choć mamy również ostrzeżenie:
The attached proof of concept demonstrates this, but please be aware that downloading it will immediately crash MsMpEng in it’s default configuration and possibly destabilize your system. Extra care should be taken sharing this report with other Windows users via Exchange, or web services based on IIS, and so on.
–ms
to jeszcze nie koniec
W takim razie czkamy na złośliwca, który porozsyła komu się da ten POC i będzie obserwował, jak bardzo się system zdestabilizuje ^^
Nikt się nie będzie w to raczej bawił. Zapewne pójdzie exploit.
A w gorszej wersji exploit może wysyłać dalej info np. do wszystkich ze skrzynki kontaktów.
Info od Tavisa było nawet że to jest 'wormable’.
W jakich czasach my żyjemy…
…żeby na backdoory NSA mówić „podatności”
Cały internet to backdoor ;) Nie wierzysz? To poszukaj z kto go stworzył :]
Doskonale znam historię internetu, ale wątpię żeby DARPA robła to jako podatność z nadziejąże ludziki będą tego używać (w tamtych czasach komputery to były głównie mainframe’y w dużych firmach i instytucjach). Raczej DARPA można zawdzięczać zdecentralizowaną naturę Internetu gdyż budowany on był tak żeby wytrzymał nawet atak nuklearny (część serwerów w miejscu wybuchu atomówki poleci, ale sieć jako taka przetrwa).
:/A co jeśli coś innego chroni system (pakiet internet security) . Nie wyszukuje wtedy żadnej poprawki.
I to wlasnie dla tego powtarza sie bez konca: antimalware / AV powinie byc uruchomiony z ograniczonymi uprawnieniami. Inaczej jest interesujacym elementem systemu do zaatakowania :-)
„I to wlasnie dla tego powtarza sie bez konca: antimalware / AV powinie byc uruchomiony z ograniczonymi uprawnieniami.”
Gdyby antimalware / AV był uruchomiony z ograniczonymi uprawnieniami, to byłby jeszcze bardziej iluzjonistyczną nadzieją na „ochronę”. Nie zmienia to faktu, że poleganie na takich rozwiązaniach jest skopane „by design” od samego początku.
Bardziej obiecującą formą ochrony jest już ścisły sandboxing izolujący procesy od rzeczy do których nie potrzebują dostępu oraz szeroko rozumiany „hardening” systemu i aplikacji. W połączeniu z użytkownikiem mającym odrobinę „oleju w głowie” może dać to bardzo dobry poziom bezpieczeństwa.
Upraszczając (bardzo) każdy kto ma aktywnego Defendera, jest podatny. Jeśli jest antimalware firm trzecich, Defender jest wówczas nieaktywny, więc engine nie działa.
Nie wiem czy to na pewno to samo, ale 7 tez jest na liscie:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0290
A jak zaktualizować wszystkie potencjalne podatności z WSUSa? Co puścić? …
Fajnie że nic na ten temat nie mogę znaleźć.
po prostu zainstaluj wszystkie wymagane i zalecane.
No i mamy odpowiedz na podatność.
Działa już w 74 krajach i blokuje komputery.
Jeśli nawet nie wykorzystuje tu opisanej podatności to podsyłam bo ważne.
https://www.usatoday.com/story/news/world/2017/05/12/hospitals-england-hit-large-scale-cyber-attack/101592398/