В Windows Defender обнаружены новые RCE-уязвимости
16.06.2017
В прошлом месяце компания Microsoft дважды выпускала внеплановые патчи для Malware Protection Engine (MsMpEng). Данный движок лежит в основе таких защитных решений, как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune Endpoint Protection, Microsoft Forefront Security for SharePoint Service Pack 3, Microsoft Forefront Endpoint Protection 2010.
Ранее баги в MsMpEng выявили специалисты Google Project Zero, и среди проблем были как RCE-уязвимости, так и проблемы, позволяющие спровоцировать отказ в обслуживании (denial of service, DoS).
Теперь эстафету у специалистов Google принял независимый исследователь Джеймс Ли (James Lee). На конференции Zer0con он рассказал о новых уязвимостях, которые удалось найти в составе MsMpEng. Пока исследователь не спешит обнародовать технические подробности багов, но объясняет, что корень проблемы вновь кроется в недостаточно эффективном сендбоксинге.
В качестве proof-of-concept Ли опубликовал два видеоролика, которые можно увидеть ниже. В первом случае Windows Defender работает на полностью обновленной и актуальной ОС, однако это не помешало исследователю спровоцировать отказ в обслуживании, после чего защитное решение не смогло перезапуститься.
Стоит отметить, что на прошлой неделе эксперт Google Project Zero Тевис Орманди, нашедший ряд уязвимостей в MsMpEng этой весной, анонсировал еще один критический баг в движке, полный отчет о котором пока не был обнародован. В своем твиттере Орманди также критикует сендбоксинг MsMpEng.
