Windows Defender broni Windowsa – a kto obroni Windows Defendera?
Dopiero co Microsoft zapewniał,jak skutecznie z zaawansowanym złośliwym oprogramowaniem radzisobie jego Windows Defender… o ile oczywiście sam nie padnieofiarą jakiegoś exploitu, takiego jak choćby ten odkrytyprzez ekspertów z Google Project Zero. Z tamtym odkryciem firma zRedmond poradziła sobie wzorowo, wydając łatkę w rekordowymczasie. Łatka okazała się jednak niewystarczająca. Znówznaleziono sposób, aby przez silnik antywirusowy Windows Defenderazdalnie uruchomić kod.
Autorem odkrycia jest James Lee, który badał jeden z kluczowychkomponentów Windows Defendera, silnik MsMpEng. W przesłanym doredakcji serwisu The Register e-mailu nie ujawnił wszystkichszczegółów luki. Zapewnia jednak, że nie ma ona nic wspólnego zewcześniejszym odkryciem Travisa Ormandy’ego i Mateusza Jurczyka –tutaj mamy mieć do czynienia z błędami w logice programu ipomyleniem typów, czyli sytuacją w której program nie weryfikujepoprawnie typu przekazanego mu obiektu, pozwalając przekazaćniewłaściwe wskaźniki i dane w niewłaściwy fragment kodu.
Another MsMpEng RCE (Before)
O sprawie zrobiło się głośno teraz, jednak już miesiąc temuJames Lee demonstrował swój atak na dwóch klipach wideoopublikowanych na YouTube. Jak na nich widać, Windows Defenderdziałający na w pełni zaktualizowanym Windows 10 zostajezawieszony przez plik pobrany z Internetu.
Another MsMpEng RCE (After)
Lee twierdzi, że to kolejny dowód na to, że działanie silnikaWindows Defendera poza sandboxem jest nie do przyjęcia. Wcześniejto samo pisał sam Tavis Ormandy – który znalazłtydzień temu jeszcze inną podatność w MsMpEng. Czy jednak sandboxWindowsa 10 to takie niezawodne rozwiązanie? Na GitHubie trzy dnitemu opublikowano exploit,który pozwala zmusić Windows Defendera do kasowania dowolnychplików w systemie.
