Image default
Security

Microsoft libera correção de emergência para bug grave

A Microsoft liberou uma atualização de segurança às pressas para corrigir um bug grave descoberto por uma dupla de pesquisadores do Google Project Zero durante o fim de semana.

Os pesquisadores Tavis Ormandy e Natalie Silvanovich anunciaram no Twitter o que poderia ser a “pior vulnerabilidade relacionada à execução remota de código em memória”.

De acordo com um comunicado divulgado pela Microsoft, a falha remotamente explorável (CVE-2017-0290) existe no Microsoft Malware Protection Engine (MMPE), ou seja, o motor utilizado pelo antivírus da empresa pode ser usado para comprometer completamente Pcs Windows sem qualquer interação do usuário.

Lista dos softwares afetados

Eventualmente, todos os softwares anti-malware que possuem  o Microsoft Malware Protection Engine são vulneráveis a essa falha. São os seguintes:

  • Windows Defender
  • Windows Intune Endpoint Protection
  • Microsoft Security Essentials
  • Microsoft System Center Endpoint Protection
  • Microsoft Forefront Security for SharePoint
  • Microsoft Endpoint Protection
  • Microsoft Forefront Endpoint Protection

O Windows Defender vem ativado por padrão no Windows 7, 8.1, RT 8.1 e Windows 10, bem como no Windows 2016. Todos estão em situação de risco, podendo ser comprometidos totalmente de forma remota.

Falha de execução remota de código no Microsoft Malware Protection Engine

A falha ocorre na forma como a MMPE faz a varredura nos arquivos. É possível que o invasor crie intencionalmente um arquivo que pode levar à corrupção de memória no sistema alvo.

Os pesquisadores rotularam a falha como uma vulnerabilidade do “tipo confusão”, que existe no Nscript, um “componente do mpengine que avalia qualquer sistema de arquivos ou atividade de rede ao JavaScript”, que não consegue validar entradas JavaScript.

Para ser claro, este é um interpretador JavaScipt rodando fora do sandbox e de forma altamente privilegiado, usado para verificar se o código é confiável, por padrão em todos os sistemas Windows atuais. Isso não é tão surpreendente como parece ser“, explicaram os pesquisadores de segurança do Google em um relatório de bug postado no fórum do Chromium.

Uma vez que os antivírus têm a funcionalidade de verificação em tempo real ativada por padrão, que verifica automaticamente os arquivos quando são criados, abertos, copiados ou baixados da Internet, o exploit é ativado assim que o arquivo malicioso é transferido, infectando o computador da vítima.

A vulnerabilidade poderia ser explorada de várias maneiras, como através de e-mail, atrair as vítimas para sites que hospedam arquivos maliciosos, bem como por mensagens instantâneas.

Este nível de acessibilidade é possível porque o MsMpEng utiliza um minifiltro do sistema de arquivos para interceptar e inspecionar toda a atividade do sistema de arquivos, podendo assim gravar o conteúdo controlado em qualquer local do disco, como por exemplo, caches, arquivos temporários da Internet e downloads (até downloads não confirmados). Isso é suficiente para acessar a funcionalidade no mpengine.

O payload malicioso injetado é executado com privilégios elevados de nível LocalSystem, que permitem que os atacantes tenham o controle total do sistema alvo e executem tarefas maliciosas, como instalar spyware, roubar arquivos confidenciais, bem como credenciais de login e muito mais.

A Microsoft respondeu ao problema rapidamente e disponibilizou um patch em apenas 3 dias, o que é impressionante. O patch está agora disponível através do Windows Update para Windows 7, 8.1, RT e 10.

A versão vulnerável do Microsoft Malware Protection Engine (MMPE) é a 1.1.13701.0, e a versão corrigida é a 1.1.13704.0.

Por padrão, os PCs Windows instalam automaticamente as definições de atualizações mais recentes. Desse modo, o seu sistema instalará a atualização de emergência automaticamente dentro de alguns dias, mas você pode obtê-la clicando na opção “Verificar atualização”, em suas configurações.

Fonte:

http://thehackernews.com/2017/05/windows-defender-rce-flaw.html

Posts similares

Hackers exploram falhas no SS7 para sequestrar contas bancárias

O Analista

Defcon: Pesquisador de segurança relata a existência de torres de celular falsas em todo o evento

O Analista

Qual a melhor solução para detectar rapidamente ataques DDoS?

O Analista