Microsoft heeft opnieuw een door Google-onderzoeker Tavis Ormandy gevonden lek in zijn Malware Protection Engine gedicht. Het bedrijf heeft geen security advisory uitgebracht. Dit deed het bij een eerdere kwetsbaarheid in de engine wel.

 

 

Microsoft logo 2012 klein

Ormandy schrijft dat Microsoft de patch vorige week heeft uitgebracht, nadat hij het lek op 12 mei had ontdekt. Hij meldt dat de engine, MsMpEng, voorzien is van een 'volledige x86-emulator, waarmee niet vertrouwde bestanden uitgevoerd kunnen worden die eruitzien als portable executables'. Die emulator draait op systeemniveau en is bovendien niet voorzien van een sandbox. Door de beschikbare api's voor de emulator te doorzoeken vond hij een manier om 'geëmuleerde code de emulator te laten overnemen'.

Udi Yavo, oprichter van beveiligingsbedrijf enSilo, laat in een interview met Threatpost weten dat het hierbij om 'een potentieel zeer ernstige kwetsbaarheid gaat, die echter moeilijker te misbruiken is dan het lek dat eerder door Microsoft is gedicht'. Daarmee doelt hij op cve-2017-0290, dat begin deze maand door Microsoft is verholpen. Daarmee was het mogelijk om op afstand code uit te voeren op een kwetsbaar systeem, net als bij de huidige kwetsbaarheid. De patch voor het nieuwe lek is uitgebracht in versie 1.1.13804.0 van MsMpEng, aldus Ormandy.

De onderzoeker van Googles Project Zero-beveiligingsteam maakte onlangs bekend hoe hij te werk gaat bij het vinden van Windows-bugs. Zo publiceerde hij onlangs een GitHub-project, waarmee hij Windows-dll's naar Linux port. Als demonstratie van de werking heeft hij Windows Defender, waarvan MsMpEng de basis vormt, overgezet naar Linux. Daarmee wil hij het makkelijker maken om fuzzing uit te voeren, zonder dat daarvoor een volledige, gevirtualiseerde omgeving nodig is. Over de engine die het hart van MsMpEng vormt, genaamd Mpengine, schrijft hij dat deze 'een enorme en complexe attack surface' heeft en dat alle code beschikbaar is voor potentiële aanvallers.

 

Reacties mogelijk gemaakt door CComment