Microsoft випустила аварійне позапланове оновлення для виправлення «жахливої» вразливості у Windows
Аварійне позапланове оновлення сталося вночі. Компанія Microsoft виправила вразливість у службі MsMpEng, нещодавно виявлену двома експертами компанії Google, які назвали її "жахливою" ("crazy bad") і прикладом "найгіршої RCE-уразливості Windows на їх пам'яті".
Спочатку експерти Google не розкривали деталей — не відома навіть версія Windows, в якій було виявлено помилку. Але завіса таємниць відкрилася після оновлення з виправленням, після чого експерти разом з Microsoft поділилися більш докладними відомостями про виявлену «дірку».
І де була вразливість?
В обох джерелах зазначено, що помилка була виявлена в механізмі захисту від шкідливих програм (Microsoft Malware Protertion Engine, MsMpEng) — службі, яка постачається в ядрі таких продуктів, як Windows 7, Windows 8.1, Windows 10 та Windows Server 2016. Крім того, ця служба використовується безліччю інструментів безпеки від Microsoft, таких як:
- Windows Defender;
- Microsoft Security Essentials;
- Microsoft Endpoint Protection;
- Microsoft System Center Endpoint Protection;
- Windows Intune Endpoint Protection;
- Microsoft Forefront Security для SharePoint Service Pack 3;
- Microsoft Forefront Endpoint Protection 2010
Вразливістю легко скористатися
Наприклад, пробний експлойт можна помістити у твіт:
Тавіс Орманді, один із дослідників Google Project Zero, заявив:
Вразливості в MsMpEng дають широкі можливості для злому Windows через привілеї, доступність і поширеність сервісу.
Це пов'язано з тим, що служба працює без «пісочниці» — базової та дуже ефективної функції безпеки, та й до того ж сервіс виконується як NT AUTHORITY\SYSTEM — системний рівенькористувача з правами без обмежень.
Крім того, служба включена за замовчуванням у всіх останніх операційних системах Windows, наражаючи сотні мільйонів комп'ютерів на небезпеку віддаленого злому.
Microsoft виправила проблему з MsMpEng за кілька днів
На відміну від минулих інцидентів, коли Microsoft дозволяла експлуатованим 0day-уразливості розростатися космічними масштабами, не випускаючи виправлення по кілька місяців, цього разу компанія випустила виправлення дуже швидко, лише за кілька днів.
Just released malware protection engine update to address RCE vuln – Defender will autoupdate. https://t.co/rzn5QWo6sV
— Security Response (@msftsecresponse) May 9, 2017
Still blown away at how quickly @msftsecurity respond to protect users, can't give enough kudos. Amazing.
Згідно з рекомендацією Microsoft, вразливість доступна в Microsoft Malware Protection Engine, починаючи з версії v1.1.13701.0, і виправлена в v1.1.13704.0 минулої ночі, а отже, торкається тих, хто не оновився.
Компанія Microsoft також заявила, що на останніх платформах ризик експлуатації повинен бути нижчим, якщо користувач увімкнув функцію CFG (Control Flow Guard), яка значно ускладнює експлуатацію вразливостей на основі використання пам'яті.