-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Ekstremalnie poważna podatność w… domyślnie instalowanym antymalware Microsoftu. Podatne wszystkie Windowsy 8, 8.1, 10

09 maja 2017, 09:35 | W biegu | komentarzy 14

Tym razem podatny pokazał się MsMpEng czyli Malware Protection service, włączony domyślnie na Windows 8, 8.1, 10 i niektórych wersjach serwerowych. Microsoft wypuścił patcha w 2 dni (!).

MsMpEng automatycznie skanuje pliki przesyłane do chronionego Windowsa (niezależnie od tego czy są wysyłane np. mailem, ściągane przeglądarką czy znajdujące się na pendrive). Jak to bywa z systemami antymalware, nie jest w tym przypadku konieczne nawet otwarcie pliku (np. w postaci załącznika z maila).

Co dalej?

Załodze z Googlowego Project Zero udało się znaleźć nieuwierzytelnione wykonanie kodu w systemie antymalware Microsoftu. Oznacza to więc że wystarczy np. wysłać do kogoś odpowiednio zainfekowanego maila i w zasadzie bez żadnej interakcji ofiary mamy wykonanie kodu na Windows i to z pełnymi uprawnieniami NT AUTHORITY\SYSTEM.

Ekipa z Google określiła to wręcz tak:

Vulnerabilities in MsMpEng are among the most severe possible in Windows, due to the privilege, accessibility, and ubiquity of the service.

Jeśli ktoś chce przetestować czy jest podatny może wejść tutaj i pobrać załącznik. Choć mamy również ostrzeżenie:

The attached proof of concept demonstrates this, but please be aware that downloading it will immediately crash MsMpEng in it’s default configuration and possibly destabilize your system. Extra care should be taken sharing this report with other Windows users via Exchange, or web services based on IIS, and so on.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. ss_everpopular

    to jeszcze nie koniec

    Odpowiedz
  2. Tony Hołk

    W takim razie czkamy na złośliwca, który porozsyła komu się da ten POC i będzie obserwował, jak bardzo się system zdestabilizuje ^^

    Odpowiedz
    • Nikt się nie będzie w to raczej bawił. Zapewne pójdzie exploit.
      A w gorszej wersji exploit może wysyłać dalej info np. do wszystkich ze skrzynki kontaktów.

      Info od Tavisa było nawet że to jest 'wormable’.

      Odpowiedz
  3. SuperTux

    W jakich czasach my żyjemy…

    …żeby na backdoory NSA mówić „podatności”

    Odpowiedz
    • Cały internet to backdoor ;) Nie wierzysz? To poszukaj z kto go stworzył :]

      Odpowiedz
      • SuperTux

        Doskonale znam historię internetu, ale wątpię żeby DARPA robła to jako podatność z nadziejąże ludziki będą tego używać (w tamtych czasach komputery to były głównie mainframe’y w dużych firmach i instytucjach). Raczej DARPA można zawdzięczać zdecentralizowaną naturę Internetu gdyż budowany on był tak żeby wytrzymał nawet atak nuklearny (część serwerów w miejscu wybuchu atomówki poleci, ale sieć jako taka przetrwa).

        Odpowiedz
  4. Artur

    :/A co jeśli coś innego chroni system (pakiet internet security) . Nie wyszukuje wtedy żadnej poprawki.

    Odpowiedz
  5. Xxxx

    I to wlasnie dla tego powtarza sie bez konca: antimalware / AV powinie byc uruchomiony z ograniczonymi uprawnieniami. Inaczej jest interesujacym elementem systemu do zaatakowania :-)

    Odpowiedz
    • Xyzz

      „I to wlasnie dla tego powtarza sie bez konca: antimalware / AV powinie byc uruchomiony z ograniczonymi uprawnieniami.”

      Gdyby antimalware / AV był uruchomiony z ograniczonymi uprawnieniami, to byłby jeszcze bardziej iluzjonistyczną nadzieją na „ochronę”. Nie zmienia to faktu, że poleganie na takich rozwiązaniach jest skopane „by design” od samego początku.

      Bardziej obiecującą formą ochrony jest już ścisły sandboxing izolujący procesy od rzeczy do których nie potrzebują dostępu oraz szeroko rozumiany „hardening” systemu i aplikacji. W połączeniu z użytkownikiem mającym odrobinę „oleju w głowie” może dać to bardzo dobry poziom bezpieczeństwa.

      Odpowiedz
  6. Hehe

    Upraszczając (bardzo) każdy kto ma aktywnego Defendera, jest podatny. Jeśli jest antimalware firm trzecich, Defender jest wówczas nieaktywny, więc engine nie działa.

    Odpowiedz
  7. Filip
    Odpowiedz
  8. WSUS

    A jak zaktualizować wszystkie potencjalne podatności z WSUSa? Co puścić? …
    Fajnie że nic na ten temat nie mogę znaleźć.

    Odpowiedz
    • SuperTux

      po prostu zainstaluj wszystkie wymagane i zalecane.

      Odpowiedz
  9. Tomasz
    Odpowiedz

Odpowiedz na Artur