Autorem odkrycia jest James Lee, który badał jeden z kluczowychkomponentów Windows Defendera, silnik MsMpEng. W przesłanym doredakcji serwisu The Register e-mailu nie ujawnił wszystkichszczegółów luki. Zapewnia jednak, że nie ma ona nic wspólnego zewcześniejszym odkryciem Travisa Ormandy’ego i Mateusza Jurczyka –tutaj mamy mieć do czynienia z błędami w logice programu ipomyleniem typów, czyli sytuacją w której program nie weryfikujepoprawnie typu przekazanego mu obiektu, pozwalając przekazaćniewłaściwe wskaźniki i dane w niewłaściwy fragment kodu.
Another MsMpEng RCE (Before)
O sprawie zrobiło się głośno teraz, jednak już miesiąc temuJames Lee demonstrował swój atak na dwóch klipach wideoopublikowanych na YouTube. Jak na nich widać, Windows Defenderdziałający na w pełni zaktualizowanym Windows 10 zostajezawieszony przez plik pobrany z Internetu.
Another MsMpEng RCE (After)
Lee twierdzi, że to kolejny dowód na to, że działanie silnikaWindows Defendera poza sandboxem jest nie do przyjęcia. Wcześniejto samo pisał sam Tavis Ormandy – który znalazłtydzień temu jeszcze inną podatność w MsMpEng. Czy jednak sandboxWindowsa 10 to takie niezawodne rozwiązanie? Na GitHubie trzy dnitemu opublikowano exploit,który pozwala zmusić Windows Defendera do kasowania dowolnychplików w systemie.