Microsoft ha recentemente pubblicato l'advisory sulla sicurezza 4022344, annunciando una grave vulnerabilità della sicurezza in Malware Protection Engine.

Microsoft Malware Protection Engine

Questo strumento è utilizzato da vari prodotti Microsoft come Windows Defender e Microsoft Security Essentials su PC consumer. Viene inoltre utilizzato da Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection o Windows Intune Endpoint Protection sul lato aziendale.

La vulnerabilità che ha interessato tutti questi prodotti potrebbe consentire l'esecuzione di codice in modalità remota se un programma che esegue Microsoft Malware Protection Engine esegue la scansione di un file predisposto.

Risolto il problema con la vulnerabilità di Windows Defender

Il 6 maggio 2017 Tavis Ormandy e Natalie Silvanovich di Google Project Zero hanno scoperto il "peggior dirigente di codice remoto di Windows nella memoria recente". I ricercatori hanno riferito a Microsoft di questa vulnerabilità e le informazioni sono state tenute nascoste al pubblico per fornire alla società 90 giorni per ripararlo.

Microsoft ha rapidamente creato una patch e ha distribuito nuove versioni di Windows Defender e altro agli utenti.

I clienti Windows che hanno i prodotti interessati in esecuzione sui propri dispositivi devono assicurarsi che siano aggiornati.

Aggiorna il programma su Windows 10

• Tocca il tasto Windows, digita Windows Defender e premi Invio per caricare il programma.
• Se esegui Windows 10 Creators Update, otterrai il nuovo Windows Defender Security Center.
• Fai clic sull'icona della ruota dentata.
• Seleziona Informazioni sulla pagina successiva.
• Controllare la versione del motore per assicurarsi che sia almeno 1.1.13704.0.

Gli aggiornamenti di Windows Defender sono disponibili tramite Windows Update. Ulteriori informazioni sull'aggiornamento manuale dei prodotti antimalware Microsoft sono disponibili nel Centro protezione malware sul sito Web Microsoft.

Rapporto sulla vulnerabilità di Google sul sito Web di Project Zero

Ecco qui:

Le vulnerabilità in MsMpEng sono tra le più gravi possibili in Windows, a causa del privilegio, dell'accessibilità e dell'ubiquità del servizio.

Il componente principale di MsMpEng responsabile della scansione e dell'analisi si chiama mpengine. Mpengine è una vasta e complessa superficie di attacco, composta da gestori di dozzine di formati di archivio esoterici, packer e cryptor eseguibili, emulatori di sistema completi ed interpreti per varie architetture e linguaggi, e così via. Tutto questo codice è accessibile agli aggressori remoti.

NScript è il componente di mpengine che valuta qualsiasi filesystem o attività di rete che assomigli a JavaScript. Per essere chiari, questo è un interprete JavaScript senza sandbox e altamente privilegiato che viene utilizzato per valutare il codice non attendibile, per impostazione predefinita su tutti i sistemi Windows moderni. Questo è sorprendente come sembra.