Jeden plik zawiesi Windows Defendera i uruchomi kod z uprawnieniami systemu

Strona główna Aktualności
image

O autorze

Oprogramowanie zabezpieczające tworzone przez Microsoft samo potrzebuje zabezpieczenia. Użytkownicy Windows Defendera (a więc praktycznie wszyscy użytkownicy Windows 10), Microsoft Security Essentials, Endpoint Protection, Forefront Endpoint Protection oraz serwerów Exchange 2013 i 2016 podatni są na atak polegający na podaniu silnikowi antywirusowemu spreparowanego pliku, którego odczytanie wywoła uszkodzenie pamięci i pozwoli na zdalne uruchomienie kodu. Nie lękajcie się jednak, łatka do luki oznaczonej jako CVE-2017-11937 dostępna jest przez Windows Update dla wszystkich wspieranych systemów.

Microsoft nie czekał do drugiego wtorku miesiąca, łatka została wydana tak szybko jak to tylko możliwe. Nie może to zaskakiwać, bo odkryta luka jest nie tylko ekstremalnie groźna, ale też i kompromitująca – narzędzia służące do zabezpieczenia systemu operacyjnego okazały się zagrażać temu systemowi. Wykorzystywany we wszystkich ochronnych produktach Microsoftu silnik Malware Protection Engine (MPE) okazał się być podatny na atak, wykorzystywany zwykle przeciwko programom takim jak Word czy Adobe Reader, tyle że o znacznie dalej idących konsekwencjach.

Otwierając odpowiednio spreparowany plik, MPE ulegało awarii z uszkodzeniem pamięci i uruchamiało w ten sposób złośliwy kod z uprawnieniami konta LocalSystem, pozwalając napastnikowi na przejęcie całkowitej kontroli nad Windowsem – to przecież najwyższy poziom uprawnień. Co najgorsze, nie trzeba było zmuszać użytkownika do otwierania wysłanego mu pliku, wystarczyło, że zapisał go gdzieś w systemie. Wówczas Malware Protection Engine (w wersji do 1.1.14306.0) rozpoczynało skanowanie, już to pozwalało na uruchomienie złośliwego kodu.

Wygląda na to, że taki atak moża przeprowadzić też na windowsowe serwery, na których działają usługi pozwalające użytkownikom na wgrywanie własnych plików. Taki plik zeskanowany przez MPE uruchomione na Windows Serverze będzie wektorem ataku pozwalającego na zdalne uruchomienie kodu i nawet przejęcie serwera.

Jak się zabezpieczyć?

Odkrycie tej luki Microsoft przypisał brytyjskim ekspertom od cyberbezpieczeństwa z National Cyber Security Centre, jednej z jednostek organizacji wywiadowczej GCHQ. Jeśli korzystacie z oprogramowania ochronnego firmy z Redmond, jedynym sposobem na jej zneutralizowanie jest skorzystanie z łatki Microsoftu. Możecie oczywiście przestać korzystać z tego oprogramowania, nawet w Windowsie 10 da się wyłączyć Windows Defendera. Jak to zrobić za pomocą Zasad Grupy, przeczytacie w naszym artykule pt. Windows Defender – przed czym nas chroni i jak kazać mu przestać?

© dobreprogramy