Microsoft устранила критическую уязвимость в Windows Defender

Microsoft устранила критическую уязвимость в Windows Defender

Уязвимость позволяла перехватить контроль над антивирусным эмулятором в движке MsMpEng.

Компания Microsoft выпустила патч, исправляющий критическую уязвимость в антивирусном движке, лежащим в основе Windows Defender.

Проблема, обнаруженная специалистом Google Project Zero Тэвисом Орманди (Tavis Ormandy), позволяла перехватить контроль над антивирусным эмулятором в движке MsMpEng.

«MsMpEng имеет собственный эмулятор x86 системы, который используется для запуска недоверенных файлов, похожих на исполняемые PE-файлы. Эмулятор работает как NT AUTHORITY\SYSTEM и не является песочницей. Просматривая список поддерживаемых эмулятором API, я обнаружил элемент ntdll!NtControlChannel, позволяющий эмулируемому коду контролировать эмулятор», - написал Орманди.

По словам исследователя, данная уязвимость достаточно серьезна и не так сложна в эксплуатации, как проблема, описанная им ранее. Речь идет об уязвимости в Microsoft Malware Protection Engine (MMPE), позволяющей удаленно выполнить произвольный код.

Эксперт сообщил об уязвимости специалистам Microsoft. На прошлой неделе компания не привлекая внимания выпустила обновление, устраняющее данную проблему.

Ты не вирус, но мы видим, что ты активен!

Подпишись, чтобы защититься