В Malware Protection Engine обнаружена новая уязвимость

Александр Панасенко 27 Июня 2017 - 13:43

Общее

Microsoft

Вредоносные программы

Эксплойты

Уязвимости программ

...

В Malware Protection Engine обнаружена новая уязвимость

В этом году специалисты компании Microsoft уже неоднократно выпускали внеплановые патчи для Malware Protection Engine (MsMpEng). Напомню, что это защитное решение лежит «в сердце» таких продуктов, как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune Endpoint Protection, Microsoft Forefront Security for SharePoint Service Pack 3, Microsoft Forefront Endpoint Protection 2010.

Сначала баги в MsMpEng дважды выявляли специалисты Google Project Zero, и среди проблем были как RCE-уязвимости, так и проблемы, позволяющие спровоцировать отказ в обслуживании (denial of service, DoS). Позже, в начале июня 2017 года, к делу также подключился независимый исследователь Джеймс Ли (James Lee). На конференции Zer0con он рассказал о новых RCE-уязвимостях в составе MsMpEng.

Одновременно с информацией, поступившей от Ли, специалист Google Project Zero Тевис Орманди (Tavis Ormandy) анонсировал скорое раскрытие информации о еще нескольких проблемах MsMpEng. Теперь, почти три недели спустя, разработчики Microsoft подготовили патч, и Орманди наконец рассказал о своих новых находках, пишет xakep.ru.

Исследователь открыл доступ к своему отчету, озаглавленному «Повреждение хипа в эмуляторе mpengine x86 в VFS API» и объяснил, что создал фаззер для работающего вне песочницы x86 эмулятора, используемого Windows Defender.

Орманди отмечает, что фаззинг KERNEL32.DLL!VFS_Write API до этого, похоже, никогда не проводился. Ранее специалист уже заметил, что ряд API эмулятора доступны удаленно и активны по умолчанию. Причем инженеры Microsoft сообщили Орманди, что им известно об этом, и это сделано намерено. Когда Орманди изучил проблему внимательнее и подключил к делу фаззинг, стало очевидно, он имеет дело с новыми критическими уязвимостями.

В своем бюллетене безопасности Microsoft классифицировала проблему как RCE (remote code execution) и объяснила, что Malware Protection Engine некорректно сканирует специально созданные файлы, что приводит к нарушению целостности информации в памяти. В итоге удаленный атакующий может выполнить произвольный код в контексте безопасности аккаунта LocalSystem и полностью перехватить контроль над системой.

Орманди приложил к своему отчету proof-of-concept эксплоит, который вынужден был зашифровать. Эксперт предупреждает, что его тестовый вредоносный файл немедленно провоцирует «падение» сервиса MsMpEng в Windows и даже может вызывать крах exchange-сервера.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 17 Июля 2025 - 19:11

САКУРА Корпорации Сетевая безопасность Системы контроля сетевого доступа Системы защиты от утечек конфиденциальной информации (DLP)Системы мониторинга событий безопасности Системы мониторинга эффективности сотрудников Средства управления информационной безопасностью Системы реагирования и управления инцидентами (IRP) ИТ-Экспертиза (IT-Expertise)

Вышла САКУРА 2.36: поддержка ARM и улучшения для VPN и AD

Компания «ИТ-Экспертиза» представила новый релиз системы САКУРА версии 2.36. В нём расширена поддержка платформ, улучшена работа с VPN, добавлены новые отчёты и повышена производительность.

Что нового:

Для всех поддерживаемых ОС теперь доступны дистрибутивы Агента САКУРА как для архитектуры x86, так и для ARM.
В модуле учёта рабочего времени появился отчёт «Работа пользователей по дням» — для анализа активности сотрудников по датам.
Расширены возможности интеграции с VPN-сервисами:

В CheckPoint теперь можно использовать второй фактор от САКУРА и работать без привязки к Active Directory.
В решениях от АМИКОН появилась возможность задавать произвольные коды ответов для настройки доступа.

В Astra Linux реализована цифровая подпись агента — это сделано для работы в замкнутых средах (ЗПС).
Улучшена защита компонентов ПК ИБ и агента от модификаций.
Повышена гибкость синхронизации с Active Directory — добавлены фильтры по группам и пользователям.

Оптимизация и ускорение:

Переработан механизм получения VPN-пользователя из сертификатов — стало надёжнее и быстрее.
Ускорена работа проверок с типами «Сетевой доступ» и «Актуальность обновлений ОС».
Сценарии действия на рабочих местах теперь исполняются быстрее.
При старте Агента снижена нагрузка на систему — доработана логика применения настроек по умолчанию.
Меньше сетевого трафика: оптимизирован способ получения настроек с сервера.
Для macOS уменьшено количество запросов к ОС.
Улучшена работа с пуш-уведомлениями в мобильном приложении.

В релиз также вошли исправления ошибок, обнаруженных в предыдущих версиях.