В этом году специалисты компании Microsoft уже неоднократно выпускали внеплановые патчи для Malware Protection Engine (MsMpEng). Напомню, что это защитное решение лежит «в сердце» таких продуктов, как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune Endpoint Protection, Microsoft Forefront Security for SharePoint Service Pack 3, Microsoft Forefront Endpoint Protection 2010.
Сначала баги в MsMpEng дважды выявляли специалисты Google Project Zero, и среди проблем были как RCE-уязвимости, так и проблемы, позволяющие спровоцировать отказ в обслуживании (denial of service, DoS). Позже, в начале июня 2017 года, к делу также подключился независимый исследователь Джеймс Ли (James Lee). На конференции Zer0con он рассказал о новых RCE-уязвимостях в составе MsMpEng.
Одновременно с информацией, поступившей от Ли, специалист Google Project Zero Тевис Орманди (Tavis Ormandy) анонсировал скорое раскрытие информации о еще нескольких проблемах MsMpEng. Теперь, почти три недели спустя, разработчики Microsoft подготовили патч, и Орманди наконец рассказал о своих новых находках,
Исследователь открыл доступ к своему отчету, озаглавленному «Повреждение хипа в эмуляторе mpengine x86 в VFS API» и объяснил, что создал фаззер для работающего вне песочницы x86 эмулятора, используемого Windows Defender.
Орманди отмечает, что фаззинг KERNEL32.DLL!VFS_Write API до этого, похоже, никогда не проводился. Ранее специалист уже заметил, что ряд API эмулятора доступны удаленно и активны по умолчанию. Причем инженеры Microsoft сообщили Орманди, что им известно об этом, и это сделано намерено. Когда Орманди изучил проблему внимательнее и подключил к делу фаззинг, стало очевидно, он имеет дело с новыми критическими уязвимостями.
В своем бюллетене безопасности Microsoft классифицировала проблему как RCE (remote code execution) и объяснила, что Malware Protection Engine некорректно сканирует специально созданные файлы, что приводит к нарушению целостности информации в памяти. В итоге удаленный атакующий может выполнить произвольный код в контексте безопасности аккаунта LocalSystem и полностью перехватить контроль над системой.
Орманди приложил к своему отчету proof-of-concept эксплоит, который вынужден был зашифровать. Эксперт предупреждает, что его тестовый вредоносный файл немедленно провоцирует «падение» сервиса MsMpEng в Windows и даже может вызывать крах exchange-сервера.
Басманный суд Москвы заочно арестовал одного из основателей компании IBS, бывшего члена совета директоров Альфа-банка и «Вымпелкома» Сергея Мацоцкого. Решение принято по ходатайству следствия в рамках уголовного дела о даче взятки в особо крупном размере.
Об этом сообщил «Интерфакс». Подробности уголовного дела официально не раскрываются. По оценке телеграм-канала Mash, Мацоцкому может грозить до 15 лет лишения свободы.
«Постановлением Басманного районного суда города Москвы удовлетворено ходатайство органов предварительного расследования об избрании меры пресечения в виде заключения под стражу в отношении Мацоцкого Сергея Савельевича, обвиняемого в совершении преступлений, предусмотренных ч. 5 ст. 291 УК РФ, меру пресечения в виде заключения под стражу на срок 2 месяца с момента его экстрадиции на территорию Российской Федерации либо с момента его задержания на территории Российской Федерации», — говорится в официальном сообщении судов общей юрисдикции Москвы.
Сергей Мацоцкий — один из основателей ИТ-интегратора IBS. В 2020 году он покинул компанию и создал инвестиционный холдинг «ГС-Инвест». Мацоцкого называют одной из влиятельных фигур в российской ИТ-отрасли. Его состояние оценивается в 14,5 млрд рублей.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
