Pesquisador do Google descobre outro RCE no Microsoft Malware Protection Engine

O pesquisador do Google Project Zero, Tavis Ormandy, descobriu mais uma vulnerabilidade crítica de execução de código remoto que afeta o Microsoft Malware Protection Engine, que alimenta uma série de software antivírus e antispyware da empresa.

Descoberto no início deste mês com a ajuda de um fuzzer para o componente Windows Defender criado pelo próprio Ormandy, a vulnerabilidade afeta o emulador x86 no Windows Defender, que “rodar como SYSTEM, sem sandbox, é habilitado por padrão e acessível remotamente aos atacantes“.

A falha (CVE-2017-8558) pode ser desencadeada através de um arquivo malicioso especialmente criado para esta finalidade, que será escaneado pela versão vulnerável do Microsoft Malware Protection Engine.

Há várias maneiras pelas quais um invasor pode colocar um arquivo malicioso em um local que é escaneado pelo Microsoft Malware Protection Engine“, explica a Microsoft em um documento que acompanha a atualização de segurança e que inclui a correção para a falha.

Por exemplo, um invasor pode usar um site para entregar o arquivo malicioso no sistema da vítima, o qual será escaneado quando o site for visualizado pelo usuário. Um invasor também pode entregar o arquivo malicioso através de uma mensagem de e-mail ou em uma mensagem do Instant Messenger que é escaneada quando o arquivo é aberto. Além disso, um invasor pode aproveitar os sites que aceitam ou hospedam conteúdo fornecido pelo usuário, para carregar o arquivo malicioso em um local compartilhado que será escaneado pelo Malware Protection Engine que está sendo executado no servidor de hospedagem“.

Uma exploração bem sucedida da vulnerabilidade permitiria a um invasor executar código arbitrário no contexto de segurança da conta LocalSystem e assumir o controle do sistema e fazer coisas como instalar programas, visualizar, modificar e excluir dados, bem como criar novas contas com Direitos de usuário completos.

Não há soluções para a vulnerabilidade, portanto, atualizar o Microsoft Malware Protection Engine é crucial para defender-se de atacantes que possam querer explorá-lo.

A correção está incluída na versão 1.1.13903.0 do motor.

Normalmente, nenhuma ação é necessária pelos administradores corporativos ou usuários finais para instalar atualizações para o Microsoft Malware Protection Engine, porque o mecanismo interno para a detecção e implantação automática de atualizações aplicará a atualização dentro de 48 horas após a liberação“, observou a Microsoft .

Os usuários que desejam certificar-se de que receberam a atualização podem verificar manualmente as atualizações para o Microsoft Endpoint Protection, o Microsoft Forefront Endpoint Protection, o Microsoft Security Essentials, o Windows Defender e o Windows Intune Endpoint Protection.

Em maio, Ormandy e sua colega Natalie Silvanovich encontraram uma vulnerabilidade crítica do RCE (CVE-2017-0290) no Microsoft Malware Protection Engine que poderia levar às mesmas conseqüências, e o pesquisador do Google Project Zero, Mateusz Jurczyk, sinalizou oito brechas RCE e DoS no sistema.

Em todas essas situações, a Microsoft reagiu prontamente e rapidamente liberou os patches necessários

fonte: HelpNetSecurity by Zeljka Zorz
por MindSec 27/06/2017
About mindsecblog 208 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.