Jeden plik zawiesi Windows Defendera i uruchomi kod z uprawnieniami systemu
Oprogramowanie zabezpieczające tworzone przez Microsoft samopotrzebuje zabezpieczenia. Użytkownicy Windows Defendera (a więcpraktycznie wszyscy użytkownicy Windows 10), Microsoft SecurityEssentials, Endpoint Protection, Forefront Endpoint Protection orazserwerów Exchange 2013 i 2016 podatni są na atak polegający napodaniu silnikowi antywirusowemu spreparowanego pliku, któregoodczytanie wywoła uszkodzenie pamięci i pozwoli na zdalneuruchomienie kodu. Nie lękajcie się jednak, łatka do lukioznaczonej jako CVE-2017-11937 dostępna jest przez Windows Updatedla wszystkich wspieranych systemów.
Microsoft nie czekał do drugiego wtorku miesiąca, łatka zostaławydana tak szybko jak to tylko możliwe. Nie może to zaskakiwać, boodkryta luka jest nie tylko ekstremalnie groźna, ale też ikompromitująca – narzędzia służące do zabezpieczenia systemuoperacyjnego okazały się zagrażać temu systemowi. Wykorzystywanywe wszystkich ochronnych produktach Microsoftu silnik MalwareProtection Engine (MPE) okazał się być podatny na atak,wykorzystywany zwykle przeciwko programom takim jak Word czy AdobeReader, tyle że o znacznie dalej idących konsekwencjach.
Otwierając odpowiednio spreparowany plik, MPE ulegało awarii zuszkodzeniem pamięci i uruchamiało w ten sposób złośliwy kod zuprawnieniami konta LocalSystem, pozwalając napastnikowi naprzejęcie całkowitej kontroli nad Windowsem – to przecieżnajwyższy poziom uprawnień. Co najgorsze, nie trzeba było zmuszaćużytkownika do otwierania wysłanego mu pliku, wystarczyło, żezapisał go gdzieś w systemie. Wówczas Malware Protection Engine (wwersji do 1.1.14306.0) rozpoczynało skanowanie, już to pozwalałona uruchomienie złośliwego kodu.
Wygląda na to, że taki atak moża przeprowadzić też nawindowsowe serwery, na których działają usługi pozwalająceużytkownikom na wgrywanie własnych plików. Taki plik zeskanowanyprzez MPE uruchomione na Windows Serverze będzie wektorem atakupozwalającego na zdalne uruchomienie kodu i nawet przejęcieserwera.
Jak się zabezpieczyć?
Odkrycie tej luki Microsoft przypisał brytyjskim ekspertom odcyberbezpieczeństwa z National Cyber Security Centre, jednej zjednostek organizacji wywiadowczej GCHQ. Jeśli korzystacie zoprogramowania ochronnego firmy z Redmond, jedynym sposobem na jejzneutralizowanie jest skorzystanie z łatkiMicrosoftu. Możecie oczywiście przestać korzystać z tegooprogramowania, nawet w Windowsie 10 da się wyłączyć WindowsDefendera. Jak to zrobić za pomocą Zasad Grupy, przeczytacie wnaszymartykule pt. Windows Defender – przed czym nas chroni i jakkazać mu przestać?
