В Malware Protection Engine обнаружена новая уязвимость

Александр Панасенко 27 Июня 2017 - 13:43

Общее

Microsoft

Вредоносные программы

Эксплойты

Уязвимости программ

...

В Malware Protection Engine обнаружена новая уязвимость

В этом году специалисты компании Microsoft уже неоднократно выпускали внеплановые патчи для Malware Protection Engine (MsMpEng). Напомню, что это защитное решение лежит «в сердце» таких продуктов, как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune Endpoint Protection, Microsoft Forefront Security for SharePoint Service Pack 3, Microsoft Forefront Endpoint Protection 2010.

Сначала баги в MsMpEng дважды выявляли специалисты Google Project Zero, и среди проблем были как RCE-уязвимости, так и проблемы, позволяющие спровоцировать отказ в обслуживании (denial of service, DoS). Позже, в начале июня 2017 года, к делу также подключился независимый исследователь Джеймс Ли (James Lee). На конференции Zer0con он рассказал о новых RCE-уязвимостях в составе MsMpEng.

Одновременно с информацией, поступившей от Ли, специалист Google Project Zero Тевис Орманди (Tavis Ormandy) анонсировал скорое раскрытие информации о еще нескольких проблемах MsMpEng. Теперь, почти три недели спустя, разработчики Microsoft подготовили патч, и Орманди наконец рассказал о своих новых находках, пишет xakep.ru.

Исследователь открыл доступ к своему отчету, озаглавленному «Повреждение хипа в эмуляторе mpengine x86 в VFS API» и объяснил, что создал фаззер для работающего вне песочницы x86 эмулятора, используемого Windows Defender.

Орманди отмечает, что фаззинг KERNEL32.DLL!VFS_Write API до этого, похоже, никогда не проводился. Ранее специалист уже заметил, что ряд API эмулятора доступны удаленно и активны по умолчанию. Причем инженеры Microsoft сообщили Орманди, что им известно об этом, и это сделано намерено. Когда Орманди изучил проблему внимательнее и подключил к делу фаззинг, стало очевидно, он имеет дело с новыми критическими уязвимостями.

В своем бюллетене безопасности Microsoft классифицировала проблему как RCE (remote code execution) и объяснила, что Malware Protection Engine некорректно сканирует специально созданные файлы, что приводит к нарушению целостности информации в памяти. В итоге удаленный атакующий может выполнить произвольный код в контексте безопасности аккаунта LocalSystem и полностью перехватить контроль над системой.

Орманди приложил к своему отчету proof-of-concept эксплоит, который вынужден был зашифровать. Эксперт предупреждает, что его тестовый вредоносный файл немедленно провоцирует «падение» сервиса MsMpEng в Windows и даже может вызывать крах exchange-сервера.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 07 Ноября 2025 - 13:23

Общее

Опубликована программа конференции «Совершенно безопасно 3.0: Точка опоры»

Опубликована полная программа конференции «Совершенно безопасно 3.0: Точка опоры», которая пройдёт 12 ноября с 10:00 до 16:30 (МСК). В центре обсуждения — объединение подходов экономической и информационной безопасности, автоматизация, искусственный интеллект и роль человека как ключевого элемента системы защиты.

Откроет конференцию дискуссия «Экономическая и информационная безопасность: синергия защиты или конфликт компетенций».

Участники — Алексей Борисов (Фонд «Сколково»), Виктор Минин (АРСИБ), Вячеслав Гребнев (ГК Гарда), Василий Окулесский (ЦМРБанк) и Юрий Драченин (Контур.Эгида, Staffcop).

Эксперты обсудят, как объединить метрики эффективности ЭБ и ИБ, какие компетенции станут определяющими для специалистов нового поколения и как компании могут решать проблему кадрового дефицита. Модератором выступит независимый эксперт Игорь Бирюков.

Во второй части участники конференции расскажут о практических проектах и технологических изменениях.

Даниил Бориславский (Staffcop) — о том, как автоматизация меняет мышление специалистов и почему человек остаётся центром любой системы безопасности.
Антон Ломовский, Василий Прокопьев и Елена Катаева (Контур.Фокус) — о комплексной проверке контрагентов, выявлении конфликта интересов и примерах снижения бизнес-рисков через автоматизацию.
Никита Габдуллин и Иван Черноскутов (Контур.Фокус) — о переходе проверок контрагентов от простых агрегаторов данных к ИИ-агентам.

Отдельный блок будет посвящён роли человека в безопасности.

Юрий Драченин (Контур.Эгида) объяснит, почему безопасность начинается с сотрудника и как формируется культура доверия.
Евгений Успенский (ДРТ Консалтинг) — о том, как в эпоху ИИ аналитикам помогает критическое мышление.
Никита Лисенков (ICSA) поделится примерами применения Process Mining и Anti-Fraud систем.
Анастасия Федорова (Positive Education) расскажет о развитии киберкомпетенций и формировании устойчивых команд.
Артем Избаенков (ГК Солар) представит доклад «ИИ-боты: новая атака на доверие», где объяснит, как выстраивать цифровой иммунитет организации.

В финале состоится сессия «Безопасность в балансе: находим опорную точку» — о том, как превратить безопасность из контролирующей функции в фактор устойчивого роста бизнеса.

Среди участников — Александра Тихомирова (Абсолют Банк), Наталья Пигарева (независимый эксперт) и другие специалисты.