Microsoft устранила критическую уязвимость в Windows Defender

Microsoft устранила критическую уязвимость в Windows Defender

Уязвимость позволяла перехватить контроль над антивирусным эмулятором в движке MsMpEng.

image

Компания Microsoft выпустила патч, исправляющий критическую уязвимость в антивирусном движке, лежащим в основе Windows Defender.

Проблема, обнаруженная специалистом Google Project Zero Тэвисом Орманди (Tavis Ormandy), позволяла перехватить контроль над антивирусным эмулятором в движке MsMpEng.

«MsMpEng имеет собственный эмулятор x86 системы, который используется для запуска недоверенных файлов, похожих на исполняемые PE-файлы. Эмулятор работает как NT AUTHORITY\SYSTEM и не является песочницей. Просматривая список поддерживаемых эмулятором API, я обнаружил элемент ntdll!NtControlChannel, позволяющий эмулируемому коду контролировать эмулятор», - написал Орманди.

По словам исследователя, данная уязвимость достаточно серьезна и не так сложна в эксплуатации, как проблема, описанная им ранее. Речь идет об уязвимости в Microsoft Malware Protection Engine (MMPE), позволяющей удаленно выполнить произвольный код.

Эксперт сообщил об уязвимости специалистам Microsoft. На прошлой неделе компания не привлекая внимания выпустила обновление, устраняющее данную проблему.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle