Společnost Microsoft nedávno zveřejnila bezpečnostní radu 4022344, která v modulu Malware Protection Engine oznámila závažnou bezpečnostní chybu.

Microsoft Malware Protection Engine

Tento nástroj používají různé produkty společnosti Microsoft, například Windows Defender a Microsoft Security Essentials, na spotřebitelských počítačích. Používá se také Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection nebo Windows Intune Endpoint Protection na obchodní straně.

Chyba zabezpečení, která ovlivnila všechny tyto produkty, by mohla umožnit vzdálené spuštění kódu, pokud program, na kterém je spuštěn modul Microsoft Malware Protection Engine, naskenoval vytvořený soubor.

Byla opravena chyba zabezpečení programu Windows Defender

Tavis Ormandy a Natalie Silvanovich z projektu Google Project Zero objevili 6. května 2017 „nejhorší spuštění vzdáleného kódu systému Windows spuštěného v poslední paměti“. Vědci informovali společnost Microsoft o této zranitelnosti a informace byly před veřejností skryty, aby mohla společnost získat 90 dní opravit.

Microsoft rychle vytvořil opravu a vytáhl uživatelům nové verze programu Windows Defender a další.

Zákazníci Windows, kteří mají na svých zařízeních spuštěné postižené produkty, se musí ujistit, že jsou aktualizovány.

Aktualizujte program v systému Windows 10

• Klepněte na klíč Windows, napište Windows Defender a stiskněte Enter pro načtení programu.
• Pokud spustíte aktualizaci Windows 10 Creators, získáte nové Centrum zabezpečení Windows Defender.
• Klikněte na ikonu ozubeného kola.
• Na další stránce vyberte možnost About.
• Zkontrolujte verzi motoru a ujistěte se, že je alespoň 1.1.13704.0.

Aktualizace programu Windows Defender jsou k dispozici prostřednictvím služby Windows Update. Další informace o ruční aktualizaci antivirových produktů společnosti Microsoft jsou k dispozici v centru Malware Protection na webu společnosti Microsoft.

Zpráva o zranitelnosti Google na webu Project Zero

Tady to je:

Zranitelnosti v programu MsMpEng patří k nejpřísnějším možným v systému Windows kvůli privilegiím, přístupnosti a všudypřítomnosti služby.

Hlavní složka MsMpEng zodpovědná za skenování a analýzu se nazývá mpengine. Mpengine je rozsáhlá a složitá útočná plocha, skládající se z manipulátorů pro desítky formátů ezoterického archivu, spustitelných paketů a kryptorů, plných systémových emulátorů a tlumočníků pro různé architektury a jazyky atd. Celý tento kód je přístupný vzdáleným útočníkům.

NScript je součást mpengine, která vyhodnocuje jakýkoli souborový systém nebo síťovou aktivitu, která vypadá jako JavaScript. Abychom to vyjasnili, jedná se o interpreter JavaScriptu, který není v krabici a je vysoce privilegovaný a který se standardně používá ve všech moderních systémech Windows k vyhodnocení nedůvěryhodného kódu. To je stejně překvapivé, jak to zní.