Наскоро Microsoft публикува Security Advisory 4022344, обявявайки сериозна уязвимост на защитата в механизма за защита от злонамерен софтуер.

Двигател за защита от злонамерен софтуер на Microsoft

Този инструмент се използва от различни продукти на Microsoft като Windows Defender и Microsoft Security Essentials на персонални компютри. Използва се също от Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection или Windows Intune Endpoint Protection от страна на бизнеса.

Уязвимостта, която засяга всички тези продукти, може да позволи отдалечено изпълнение на код, ако програма, работеща с Microsoft Malware Protection Engine, сканира създаден файл.

Фиксирана е уязвимостта на Windows Defender

Тавис Орманди и Натали Силванович от Google Project Zero откриха „най-лошия отдалечен код на Windows в най-новата памет“ на 6 май 2017 г. Изследователите разказаха на Microsoft за тази уязвимост и информацията беше скрита от обществото, за да даде на компанията 90 дни, за да го поправим.

Microsoft бързо създаде кръпка и изхвърли на потребителите нови версии на Windows Defender и други.

Клиентите на Windows, на които засегнатите продукти работят на своите устройства, трябва да се уверят, че са актуализирани.

Актуализирайте програмата на Windows 10

• Докоснете клавиша на Windows, въведете Windows Defender и натиснете Enter, за да заредите програмата.
• Ако стартирате актуализацията на Windows 10 Creators Update, ще получите новия Център за сигурност на Windows Defender.
• Щракнете върху иконата на зъбното колело.
• Изберете About на следващата страница.
• Проверете версията на двигателя, за да се уверите, че е поне 1.1.13704.0.

Актуализациите на Windows Defender са достъпни чрез актуализацията на Windows. Повече информация за ръчното актуализиране на продуктите на Microsoft срещу злонамерен софтуер е налична в центъра за защита от злонамерен софтуер на уебсайта на Microsoft.

Доклад за уязвимост на Google на уебсайта Project Zero

Ето го:

Уязвимостите в MsMpEng са сред най-тежките възможни в Windows, поради привилегията, достъпността и повсеместността на услугата.

Основният компонент на MsMpEng, отговорен за сканирането и анализа, се нарича mpengine. Mpengine е обширна и сложна атакуваща повърхност, състояща се от манипулатори за десетки езотерични архивни формати, изпълними пакери и криптори, пълни системни емулатори и интерпретатори за различни архитектури и езици и т.н. Целият този код е достъпен за отдалечени нападатели.

NScript е компонентът на mpengine, който оценява всяка файлова система или мрежова активност, приличаща на JavaScript. За да е ясно, това е ненадлежащ и силно привилегирован JavaScript интерпретатор, който се използва за оценка на ненадежден код по подразбиране за всички съвременни Windows системи. Това е толкова изненадващо, колкото звучи.