Уязвимость позволяла перехватить контроль над антивирусным эмулятором в движке MsMpEng.
Компания Microsoft выпустила патч, исправляющий критическую уязвимость в антивирусном движке, лежащим в основе Windows Defender.
Проблема, обнаруженная специалистом Google Project Zero Тэвисом Орманди (Tavis Ormandy), позволяла перехватить контроль над антивирусным эмулятором в движке MsMpEng.
«MsMpEng имеет собственный эмулятор x86 системы, который используется для запуска недоверенных файлов, похожих на исполняемые PE-файлы. Эмулятор работает как NT AUTHORITY\SYSTEM и не является песочницей. Просматривая список поддерживаемых эмулятором API, я обнаружил элемент ntdll!NtControlChannel, позволяющий эмулируемому коду контролировать эмулятор», - написал Орманди.
По словам исследователя, данная уязвимость достаточно серьезна и не так сложна в эксплуатации, как проблема, описанная им ранее. Речь идет об уязвимости в Microsoft Malware Protection Engine (MMPE), позволяющей удаленно выполнить произвольный код.
Эксперт сообщил об уязвимости специалистам Microsoft. На прошлой неделе компания не привлекая внимания выпустила обновление, устраняющее данную проблему.