Microsoft publiserte nylig Security Advisory 4022344, og kunngjorde et alvorlig sikkerhetsproblem i Malware Protection Engine.

Microsoft Malware Protection Engine

Dette verktøyet brukes av forskjellige Microsoft-produkter som Windows Defender og Microsoft Security Essentials på forbruker-PC-er. Det brukes også av Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection eller Windows Intune Endpoint Protection på bedriftssiden.

Sårbarheten som påvirket alle disse produktene, kan tillate ekstern kjøring av kode hvis et program som kjører Microsoft Malware Protection Engine, skannet en laget fil.

Windows Defender-sikkerhetsproblemet er løst

Tavis Ormandy og Natalie Silvanovich fra Google Project Zero oppdaget den "verste Windows-fjernkoden exec i nylig minne" 6. mai 2017. Forskerne fortalte Microsoft om dette sikkerhetsproblemet, og informasjonen ble holdt skjult for publikum for å gi selskapet 90 dager for å fikse det.

Microsoft opprettet raskt en oppdatering og dyttet ut nye versjoner av Windows Defender og mer til brukere.

Windows-kunder som har de berørte produktene som kjører på enhetene sine, må sørge for at de er oppdatert.

Oppdater programmet på Windows 10

• Trykk på Windows-tasten, skriv Windows Defender og trykk Enter for å laste programmet.
• Hvis du kjører Windows 10 Creators Update, får du det nye Windows Defender Security Center.
• Klikk på tannhjulikonet.
• Velg Om på neste side.
• Sjekk motorversjonen for å forsikre deg om at den er minst 1.1.13704.0.

Windows Defender-oppdateringer er tilgjengelige gjennom Windows Update. Mer informasjon om oppdatering av Microsoft anti-malware-produkter manuelt er tilgjengelig på Malware Protection Center på Microsofts nettsted.

Googles sårbarhetsrapport på Project Zero-nettstedet

Her er det:

Sårbarheter i MsMpEng er blant de alvorligste i Windows på grunn av privilegiet, tilgjengeligheten og allestedsnærheten til tjenesten.

Kjernekomponenten i MsMpEng som er ansvarlig for skanning og analyse kalles mpengine. Mpengine er en enorm og sammensatt angrepflate, bestående av håndterere for dusinvis av esoteriske arkivformater, kjørbare pakker og kryptorer, komplette systememulatorer og tolker for forskjellige arkitekturer og språk, og så videre. All denne koden er tilgjengelig for eksterne angripere.

NScript er komponenten i mpengine som evaluerer alle filsystem- eller nettverksaktiviteter som ser ut som JavaScript. For å være tydelig, er dette en usandkobret og høyt privilegert JavaScript-tolk som brukes til å evaluere upålitelig kode, som standard på alle moderne Windows-systemer. Dette er like overraskende som det høres ut.