Microsoft offentliggjorde for nylig Security Advisory 4022344 og annoncerede en alvorlig sikkerhedssårbarhed i Malware Protection Engine.

Microsoft Malware Protection Engine

Dette værktøj bruges af forskellige Microsoft-produkter såsom Windows Defender og Microsoft Security Essentials på forbruger-pc'er. Det bruges også af Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection eller Windows Intune Endpoint Protection på forretningssiden.

Sårbarheden, der påvirkede alle disse produkter, kunne give mulighed for fjernudførelse af kode, hvis et program, der kører Microsoft Malware Protection Engine, scannede en udformet fil.

Windows Defender sårbarhed rettet

Tavis Ormandy og Natalie Silvanovich fra Google Project Zero opdagede den "værste Windows-fjernkode exec i nyere hukommelse" den 6. ^maj 2017. Forskerne fortalte Microsoft om denne sårbarhed, og oplysningerne blev holdt skjult for offentligheden for at give virksomheden 90 dage til at ordne det.

Microsoft oprettede hurtigt en patch og skubbede ud nye versioner af Windows Defender og mere til brugerne.

Windows-kunder, der har de berørte produkter, der kører på deres enheder, skal sørge for, at de er opdaterede.

Opdater programmet på Windows 10

• Tryk på Windows-tasten, skriv Windows Defender, og tryk på Enter for at indlæse programmet.
• Hvis du kører Windows 10 Creators Update, får du det nye Windows Defender Security Center.
• Klik på tandhjulikonet.
• Vælg Om på næste side.
• Kontroller motorversionen for at sikre dig, at den er mindst 1.1.13704.0.

Windows Defender-opdateringer er tilgængelige via Windows Update. Mere information om opdatering af Microsoft anti-malware-produkter manuelt findes på Malware Protection Center på Microsofts websted.

Googles sårbarhedsrapport på Project Zero-webstedet

Her er det:

Sårbarheder i MsMpEng er blandt de mest alvorlige i Windows på grund af tjenestens privilegium, tilgængelighed og allestedsnærværende.

Kernekomponenten i MsMpEng, der er ansvarlig for scanning og analyse, kaldes mpengine. Mpengine er en enorm og kompleks angrebsoverflade, der består af håndterere til snesevis af esoteriske arkivformater, eksekverbare pakker og kryptorer, komplette systememulatorer og tolke til forskellige arkitekturer og sprog, og så videre. Al denne kode er tilgængelig for eksterne angribere.

NScript er komponenten i mpengine, der evaluerer alle filsystem- eller netværksaktiviteter, der ligner JavaScript. For at være klar er dette en ikke-sandbokset og meget privilegeret JavaScript-tolk, der bruges til at evaluere upålidelig kode som standard på alle moderne Windows-systemer. Dette er lige så overraskende som det lyder.