No início do mês a Microsoft corrigiu uma falha de segurança no Malware Protection Engine.
A descoberta desta falha, feita pelo investigador Travis Ormandy serviu de base para que fosse mais tarde descoberta uma outra falha no mesmo Malware Protection Engine só que, em vez de ser comunicada publicamente, foi revelada diretamente à Microsoft.
Segundo o investigador, o MsMpEng possui integrado um emulador x86 que é usado para a execução de ficheiros “duvidosos”. Este emulador possui permissões NT AUTHORITY\SYSTEM para a execução desses ficheiros e não é isolado.
Travis ao navegar pela lista de APIs Win32 que o emulador suporta, encontrou a rotina ntdll!NtControlChannel, uma função que, basicamente, permite que o código emulado controle o emulador.
O investigador conclui que um atacante pode consultar os ficheiros locais do utilizador através dos resultados obtidos pela análise do Windows Defender e, na pior hipótese, executar remotamente códigos maliciosos no computador.
A Microsoft teve consciência da gravidade do problema e decidiu disponibilizar uma atualização que é aplicada de forma automática.
Nenhum comentário:
Postar um comentário