В Malware Protection Engine обнаружена новая уязвимость

Александр Панасенко 27 Июня 2017 - 13:43

Общее

Microsoft

Вредоносные программы

Эксплойты

Уязвимости программ

...

В Malware Protection Engine обнаружена новая уязвимость

В этом году специалисты компании Microsoft уже неоднократно выпускали внеплановые патчи для Malware Protection Engine (MsMpEng). Напомню, что это защитное решение лежит «в сердце» таких продуктов, как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune Endpoint Protection, Microsoft Forefront Security for SharePoint Service Pack 3, Microsoft Forefront Endpoint Protection 2010.

Сначала баги в MsMpEng дважды выявляли специалисты Google Project Zero, и среди проблем были как RCE-уязвимости, так и проблемы, позволяющие спровоцировать отказ в обслуживании (denial of service, DoS). Позже, в начале июня 2017 года, к делу также подключился независимый исследователь Джеймс Ли (James Lee). На конференции Zer0con он рассказал о новых RCE-уязвимостях в составе MsMpEng.

Одновременно с информацией, поступившей от Ли, специалист Google Project Zero Тевис Орманди (Tavis Ormandy) анонсировал скорое раскрытие информации о еще нескольких проблемах MsMpEng. Теперь, почти три недели спустя, разработчики Microsoft подготовили патч, и Орманди наконец рассказал о своих новых находках, пишет xakep.ru.

Исследователь открыл доступ к своему отчету, озаглавленному «Повреждение хипа в эмуляторе mpengine x86 в VFS API» и объяснил, что создал фаззер для работающего вне песочницы x86 эмулятора, используемого Windows Defender.

Орманди отмечает, что фаззинг KERNEL32.DLL!VFS_Write API до этого, похоже, никогда не проводился. Ранее специалист уже заметил, что ряд API эмулятора доступны удаленно и активны по умолчанию. Причем инженеры Microsoft сообщили Орманди, что им известно об этом, и это сделано намерено. Когда Орманди изучил проблему внимательнее и подключил к делу фаззинг, стало очевидно, он имеет дело с новыми критическими уязвимостями.

В своем бюллетене безопасности Microsoft классифицировала проблему как RCE (remote code execution) и объяснила, что Malware Protection Engine некорректно сканирует специально созданные файлы, что приводит к нарушению целостности информации в памяти. В итоге удаленный атакующий может выполнить произвольный код в контексте безопасности аккаунта LocalSystem и полностью перехватить контроль над системой.

Орманди приложил к своему отчету proof-of-concept эксплоит, который вынужден был зашифровать. Эксперт предупреждает, что его тестовый вредоносный файл немедленно провоцирует «падение» сервиса MsMpEng в Windows и даже может вызывать крах exchange-сервера.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Марта 2026 - 10:48

Мошенничество Дипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи F6

Ущерб свыше 1 млрд руб.: детям обещают робуксы, а у родителей крадут деньги

Компания F6 предупредила о новом витке мошеннических схем, в которых злоумышленники выходят на родителей через детей. В качестве приманки используют старую и всё ещё рабочую наживку — обещание бесплатных робуксов для Roblox. Но теперь схема стала жёстче: кроме обмана, преступники начали активно запугивать детей фейковыми заявлениями в полицию.

По данным аналитиков F6, в 2025 году в России зафиксировали более 7000 таких инцидентов, а общий ущерб от подобных атак мог превысить 1 млрд рублей.

Сценарий обычно начинается в TikTok и Likee, где мошенники от имени популярных у детей блогеров публикуют ролики о якобы бесплатной раздаче игровой валюты. Дальше ребёнка уводят в личные сообщения или в мессенджер, где уже выдают «инструкцию» по получению несуществующего приза.

И вот здесь начинается главное. У ребёнка просят сфотографировать экран телефона мамы, папы, бабушки или дедушки, чтобы понять, какими банковскими приложениями пользуются взрослые. После этого могут попросить открыть СМС от банка и прислать фотографии сообщений с кодами, балансами и уведомлениями.

Чтобы ребёнок не успел задуматься, мошенники торопят его таймером на 5–7 минут и пишут в доверительном стиле вроде «зая» или «зайка». Всё сделано так, чтобы быстро расположить к себе и не дать времени посоветоваться со взрослыми.

Если нужные фото уже отправлены, начинается следующий этап — запугивание. По данным F6, злоумышленники рассылают детям фальшивые видеосообщения и «заявления в полицию». В одном из сценариев используется ролик с дипфейк-монтажом: в кадре на долю секунды появляется блогер, а затем её голосом ребёнку сообщают, что на него якобы уже подано заявление о мошенничестве.

Дальше ребёнку показывают поддельную страницу, оформленную под сайт МВД России. В тексте говорится, что блогер якобы перевёл деньги родителям ребёнка на покупку робуксов, а теперь требует возврата, иначе будет штраф — например, 100 тысяч рублей. Цель проста: испугать, подавить и заставить выполнять новые указания.

Параллельно специалисты фиксируют ещё одну связанную схему — уже с угоном аккаунтов Roblox и мессенджеров. В фейковых каналах тех же «блогеров» пользователям предлагают поучаствовать в розыгрыше робуксов, а затем через бота просят ввести номер телефона и код двухфакторной аутентификации. После этого аккаунт фактически уходит в руки злоумышленников.

По наблюдениям F6, с начала 2026 года активность таких атак растёт. Главная мишень — дети 8–14 лет, для которых Roblox по-прежнему остаётся одной из самых популярных игр.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!