В Malware Protection Engine обнаружена новая уязвимость

Александр Панасенко 27 Июня 2017 - 13:43

Общее

Microsoft

Вредоносные программы

Эксплойты

Уязвимости программ

...

В Malware Protection Engine обнаружена новая уязвимость

В этом году специалисты компании Microsoft уже неоднократно выпускали внеплановые патчи для Malware Protection Engine (MsMpEng). Напомню, что это защитное решение лежит «в сердце» таких продуктов, как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune Endpoint Protection, Microsoft Forefront Security for SharePoint Service Pack 3, Microsoft Forefront Endpoint Protection 2010.

Сначала баги в MsMpEng дважды выявляли специалисты Google Project Zero, и среди проблем были как RCE-уязвимости, так и проблемы, позволяющие спровоцировать отказ в обслуживании (denial of service, DoS). Позже, в начале июня 2017 года, к делу также подключился независимый исследователь Джеймс Ли (James Lee). На конференции Zer0con он рассказал о новых RCE-уязвимостях в составе MsMpEng.

Одновременно с информацией, поступившей от Ли, специалист Google Project Zero Тевис Орманди (Tavis Ormandy) анонсировал скорое раскрытие информации о еще нескольких проблемах MsMpEng. Теперь, почти три недели спустя, разработчики Microsoft подготовили патч, и Орманди наконец рассказал о своих новых находках, пишет xakep.ru.

Исследователь открыл доступ к своему отчету, озаглавленному «Повреждение хипа в эмуляторе mpengine x86 в VFS API» и объяснил, что создал фаззер для работающего вне песочницы x86 эмулятора, используемого Windows Defender.

Орманди отмечает, что фаззинг KERNEL32.DLL!VFS_Write API до этого, похоже, никогда не проводился. Ранее специалист уже заметил, что ряд API эмулятора доступны удаленно и активны по умолчанию. Причем инженеры Microsoft сообщили Орманди, что им известно об этом, и это сделано намерено. Когда Орманди изучил проблему внимательнее и подключил к делу фаззинг, стало очевидно, он имеет дело с новыми критическими уязвимостями.

В своем бюллетене безопасности Microsoft классифицировала проблему как RCE (remote code execution) и объяснила, что Malware Protection Engine некорректно сканирует специально созданные файлы, что приводит к нарушению целостности информации в памяти. В итоге удаленный атакующий может выполнить произвольный код в контексте безопасности аккаунта LocalSystem и полностью перехватить контроль над системой.

Орманди приложил к своему отчету proof-of-concept эксплоит, который вынужден был зашифровать. Эксперт предупреждает, что его тестовый вредоносный файл немедленно провоцирует «падение» сервиса MsMpEng в Windows и даже может вызывать крах exchange-сервера.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Июля 2025 - 15:29

Домашние пользователи Корпорации Системы аутентификации Passkey (ключ доступа)Биометрические системы аутентификации Парольная защита (пароли) Яндекс

94% пользователей Яндекс ID перешли на вход без пароля

Сервис Яндекс ID существует уже 25 лет. Сейчас это не просто способ авторизации, а единый аккаунт, с которым люди входят в разные сервисы. Ежедневно через него активны более 136 миллионов аккаунтов — это на 15% больше, чем год назад. Главное изменение последних лет — резкий рост беспарольной аутентификации.

В 2023 году такие способы использовали 46% пользователей, в 2024 — уже 68%, а в 2025 — 94%. Люди всё чаще отказываются от паролей в пользу одноразовых кодов, отпечатков пальцев или распознавания лица. Например, вход по биометрии за год подключили более 16 миллионов человек.

Наиболее популярный способ — код из СМС (43% пользователей), за ним идёт пуш-уведомление (37%), ещё 7% используют логин и код из пуша. В зависимости от возраста и привычек предпочтения отличаются: старшие пользователи чаще выбирают СМС, молодёжь — пуши.

Мужчины чаще используют биометрию и QR-коды, женщины — вход по номеру телефона. Всё это снижает нагрузку на память (не нужно запоминать пароли) и повышает безопасность.

При этом сама система авторизации активно защищается: только в прошлом году было предотвращено 4,4 млн попыток входа с украденными паролями.

Напомним, в октябре прошлого года Яндекс ID подтвердил соответствие Отраслевому стандарту защиты данных. Не так давно мы также писали, что в Яндекс ID появилась возможность проверить и повысить защиту аккаунта.

В феврале 2024-го Яндекс ID добавил аутентификацию с помощью сканирования отпечатка пальца или лица.