Корпорация Microsoft в оперативном режиме исправила уязвимость в коде встроенного антивируса ОС Windows. Эта уязвимость делала почти любой компьютер открытым для киберпреступников, включая ПК, которые работают на версиях Windows от 7 до Server 2016. Сотрудникам компании из Рэдмонда удалось решить проблему всего за три дня.

Эксплоит, о котором идет речь, получил официальное название CVE-2017-0290. Он позволяет удаленно атаковать систему без взаимодействия с учетной записью владельца ПК. Киберпреступнику достаточно отправить e-mail или IM-сообщение, которое проверено Windows Defender. Как оказалось, все, что автоматически проверено Defender, включая сайты, пути общего доступа к файлам, может быть использовано для атаки.

Специалист по информационной безопасности Тэвис Орманди из Google Project Zero заявил, что эксплоит для Windows, о котором идет речь, является «червеподобным». Эксплоит можно использовать для реализации серии последовательных атак, которые будут производиться в автоматическом режиме от машины к машине (в случае, если такие ПК уязвимы).

Впервые Орманди заявил о проблеме в пятницу вечером. Сам он назвал возможность удаленной атаки на Windows «самым опасным эксплоитом за последнее время» и предупредил о том, что атака эффективна в отношении «дефолтной установки, причем компьютеры не должны быть обязательно быть в одной локальной сети». Большинство экспертов по информационной безопасности высказались в том плане, что корпорации понадобится несколько недель для исправления проблемы. Но, к удивлению многих, сотрудники Microsoft выпустили патч уже в понедельник вечером.

Эксплоит поражает процесс MsMpEngine, который работает с максимальным уровнем доступа к системе. Именно поэтому этот эксплоит так опасен. MsMpEng.exe — это ключевой процесс программы Windows Defender, которая создана Microsoft для борьбы со зловредами. Процесс сканирует загружаемые файлы на наличие программ-шпионов. Если вдруг обнаруживается malware, то такие элементы отправляются в карантин или удаляются.

Если точнее, то уязвимость содержит один из компонентов MSMPEngine, который называется Nscript. Именно его зловред поражает при помощи эксплоита, содержащего всего нескольких строк JavaScript. Nscript никогда не помещается в «песочницу» и работает с высшим уровнем доступа к системе, как и процесс MsMpEngine. Атака может быть осуществлена с использованием zip-файла, Python файла, файла образа (ROM), по локальной сети и по интернету.
Поделиться с друзьями
-->

Комментарии (28)


  1. rPman
    10.05.2017 00:03

    IM сообщение со скриптом? это как?


    1. ggrnd0
      10.05.2017 00:21

      Вложение


  1. Garbus
    10.05.2017 06:35
    +4

    Блин. Читая новости на тему уязвимостей, все чаще вспоминается веселая картинка, где стоит дверца поперек тропинки, но забора вокруг нет. Шифруй диск или нет, а потом окажется что все пароли давно утекли в сеть. Только и остается надеяться на статистику, казавшись «неуловимым Джо».


    1. Fen1kz
      10.05.2017 14:36
      -1

      В интернете нет "неуловимых Джо". Это же относится к тем кто считает, что "ему нечего скрывать".


      Есть легион ботов, которые пусть и ходят только по "тропинкам", но делают это 24/7. Они как микробы, понимаете? Вы вот не нужны биологическим террористам и от правительственных врачей вам нечего скрывать, но вы же руки моете, да?


      1. Garbus
        10.05.2017 16:44

        Мытье рук помогает от террористов? Надо же какой простой метод, люди то и не знают.
        Действительно «вкусные» уязвимости наверняка в первую очередь используют на наиболее выгодных целях, а не пугают обывателя с нулевым выхлопом.


        1. Fen1kz
          11.05.2017 17:50

          Аналогии:


          Террористы = хакеры = чувак который может обойти тропинку
          микробы = случайные тупые хакботы = боты которых остановит та самая дверца без забора
          Мытье рук = шифрование диска = дверца посередине тропинки


          Вы, грязные минусяторы, предлагаете надеятся "на статистику", говорите что вы никому не нужны — и это правда. Вы не выгодные цели. Но за безопасностью, как и за гигиеной следить надо.


          Ещё раз, ты умудрился повернуть мой пост на 180 градусов:


          Мытье рук не поможет от террориста, но поможет не подхватить кишечную инфекцию, которая куда более распространенней.
          Шифрование диска не поможет от целевой атаки, но спасет от случайного зловреда.


          Так понятней? Ты подобен человеку, который "надеется на статистику" и "неуловимый Джо", поэтому не хочет делать прививки и мыть руки.


          1. Garbus
            11.05.2017 19:46

            Кхм, вот как раз вирусу в 99% случаев совершенно наплевать на шифрование диска. Как оно поможет от того что он зашифрует/потрет контейнер? Не считая такой мелочи что во время его работы диск как раз открыт на доступ да еще и в логи сохранит все вводимые пароли? Диск защищается прежде всего от физического извлечения/потери и лишь иногда поможет на сервере.
            P.S. Минусировать не могу в принципе, тем более пару раз.


  1. UnknownQq
    10.05.2017 07:50
    -11

    … Всегда по установке win (обычно 7) в первую очередь, выключаю ненужные службы и компоненты. дефендер — первая из них. Лишний раз убеждаюсь, что не зря это делаю.


    1. Alexsandr_SE
      10.05.2017 08:50
      +3

      Дефендер при всей свой неповоротливости и пропусках даже известных ему сигнатур что-то отлавливает иной раз.


    1. Daimos
      10.05.2017 09:48
      +6

      Лучше уж дефендер юзать, чем вообще без него.


      1. UnknownQq
        10.05.2017 10:22

        Во-первых, я не сказал, что ничего не использую вообще, это Ваши «додумки».
        Во-вторых, если выбирать между дефендером и кав/нод/вебом/нортоном и т.д. я сделаю выбор в сторону ребят узкоспециализированных, по понятным причинам.
        В-третьих, жить без антивирусного софта и при этом не иметь вирусов — можно. И даже при Windows.


        1. Daimos
          10.05.2017 10:28
          +3

          Как только ставите другой антивирус — defender сам отключается.
          Поэтому, раз написали, что отключаете вручную — значит ничего не ставите. Все, кто поставил вам минус, поняли это так, что вы ничего другого не используете.


          1. UnknownQq
            10.05.2017 10:49

            Хм. Странно. Тогда, объясните мне, пожалуйста, почему при установленном KIS служба дефендера вполне активна и даже больше — бывает сам дефендер из центра поддержки начинает верещать, что у него давно не осуществлялось полное сканирование (речь виду про вин 7)?
            Брандмауэр, действительно, тот же КИС берет «под крыло», а вот дефендер как работал так и работает.

            У меня на работе есть компы, где все ресурсы на вес золота — для чего мне кормить «дармоедов», когда я могу их просто отключить в силу того, что от них пользы никакой нет, а по последним событиям, так вообще один вред?


            1. daggert
              10.05.2017 12:13
              +1

              У вас что-то с дистрибутивом вашего КИСа. У меня тут 30+ машин с ДрВебом и KISом, везде дефендер сам отключается, вплоть до сервиса.


              1. sergarcada
                10.05.2017 14:06
                -2

                … а затем через несколько недель включается вновь. Не скажу за Win7, но в Win10 дела обстоят так. Не смог найти ссылку на статью в cnews, но помнится в прошлом году Касперский подавал в суд на Microsoft. В числе претензий было самостоятельное удаление сторонних антивирусов (если несовместимо с win 10) и самостоятельный запуск Защитника, нарушая при этом запрет на одновременный запуск двух антивирусов.


                1. daggert
                  10.05.2017 15:48

                  Не включается он вновь. Уже год прошел с тех пор как у меня на работе десятка успешно живет на старых машинах и доктором вебом и касперским (даже есть один Нод32), нигде не включается самопроизвольно, проверяю раз в месяц стабильно. Ни на семерке, ни на десятке.


        1. 3al
          10.05.2017 15:09
          +3

          Другие антивирусы ничуть не лучше, на project-zero немало багов и в них. Например, тот же norton выполнял произвольный код при получении email без участия пользователя (что приводило к забавным последствиям).

          По мне, дефендер лучше коммерческих антивирусов просто потому, что он меньше умеет. Сейчас любой антивирус в лучшем случае бесполезен, в худшем — портит нервы разработчикам того же хрома и добавляет уйму дыр, и это не говоря о ложных срабатываниях.


      1. Jogger
        10.05.2017 10:55
        +2

        Данная статья доказывает обратное. Согласно ей именно дефендер делал систему уязвимой.


    1. mayorovp
      10.05.2017 11:05
      -1

      А вы проверяете что он реально выключен? У меня он три раза сам включался обратно после обновлений...


      1. UnknownQq
        10.05.2017 11:14

        Службу выключил и все. В Вашем случае, ключевая проблема — обновления, следите за тем что ставите и ищите описания, возможно, сам процесс обновления является триггером к включению некоторых «важных» процессов.
        Кстати говоря, дефендер вполне можно использовать для телеметрии, впрочем как и любой антивирус.


        1. Shyster
          10.05.2017 11:29
          -1

          В 10 он сам включается, чтоб выключить окончательно надо править реестр.


    1. rionnagel
      10.05.2017 11:42
      +1

      выключаю ненужные службы и компоненты


      Это что именно??? Мне уже приходилось иногда ломать голову в догадках нафига вырубают службу dhcp клиента… особенно в современную эпоху.

      Просто очень часто когда подобное заявляют это значит, что человек открывает оснастку служб и методично выключает всё, где не понимает значение описания.

      Себе то, ещё ладно, но пытаться ванговать понадобиться ли человеку например windows store или протокол тередо это ппц.


      1. UnknownQq
        10.05.2017 14:10

        Я выключаю те службы, что мне не нужны. Перечислять их смысла нет, так как не хочу никого провоцировать. Это мой выбор, осознанный, проверенный и кому-то, скорее всего, не очень понятный.

        В случае, когда вырубают клиент dhcp — в этом нет ничего такого. Если в сети этого стационарного компа не используется и не планируется dhcp-сервер, то толку от такой службы нет. Да, она не потребляет много ресурсов, но гики на то и гики, чтобы стремиться к перфекционизму, на их взгляд.

        По поводу того, что понадобится человеку. Давайте сначала определимся, кто этот человек и где стоит настраиваемый компьютер. Если это дома, то опять же, все зависит от того, чем человек занимается и чем пользуется. Если это корпоративный комп — все зависит от того, какие обязанности человек должен выполнять. Сама виндовс — все-таки для универсального использования, поэтому место для тонкой настройки присутствует, имхо. Понятное дело, что бОльшая часть служб останется включенной, но, если свербит, то почему бы не выключить то, что работает в холостую?

        Вообще, это клише, что в виндовсе все из коробки и ничего настраивать не надо. Чем новее версия, тем больше «мусора» (имхо) приходится либо выключать, либо откатываться на более приемлемые версии (например, с 8 или 10 на 7, которая все еще очень даже современна, однако ее уже гнобят). Да, эта настройка не такая как на *nix, но все же может присутствовать.


        1. rionnagel
          10.05.2017 20:23
          +2

          Если для себя, то норм… но всё равно есть риск нарваться на ПО, зависимое от нескольких служб, после чего сидеть с рукой у лба и думать как сделать, чтобы оно корректно работало. Да так я вообще к тому, что ресурсов вы освобождаете достаточно несущественно, чтобы это заметить.


          1. UnknownQq
            11.05.2017 10:37

            Не сталкивался с таким. Возможно, в силу интересов и направленности работы.
            Да и смысл не в том. Я привык настраивать под себя/для нужд то, на чем «езжу» и что админю. В силу того, что так мне удобнее/наибольшая продуктивность. А другим могу лишь рекомендовать, не навешивать клише, что в винде все из коробки. Оно, действительно, все и действительно из коробки, однако коробка та универсальна, в этом ее ахиллесова пята, особенно актуально это проглядывается в текущей теме.
            Так же, не стоит всецело и полностью доверять софту, потому как писал его человек и он несовершенен. Это лишь лишний повод пересмотреть свое рабочее место для более надежной и безотказной работы. Согласен, что прям 100% прирост надежности системе оно не прибавит, но в случае с тем же дефендером, головную боль не прибавит.
            Если человек не пользуется отродясь поиском в венде в силу того, что на ней всего 1 папка и пару программ, то зачем будет работать служба индексирования? Если комп не предусмотрен для прослушивания аудио, то зачем запускать аудио службы? В случае, когда компы не первой свежести, это очень даже дает прирост. Поэтому не стоит пренебрегать тонкой настройкой, когда она обоснована.


  1. ilyaplot
    10.05.2017 13:34
    -2

    Когда мне стало известно об Security Essentials, я был абсолютно уверен, что когда-нибудь его сломают, что даст более удобный способ использовать чужой ПК, да еще и с большей вероятностью. Подозреваю, что так же подумало большинство вирусописателей. Прошло несколько лет, продукт переименован в Defender, а уязвимость закрыта только сейчас. Очень интересно, когда же ее нашли.


  1. Ivan_83
    10.05.2017 14:12
    -1

    Фигня же — я думал там что то на уровне когда по сети засылаешь пинг смерти а он в ядре выполняется как код.
    Вот в 2003 было много круче, когда нашли дырку в smb а встроенного фаера не было. В итоге вирусы весело запускались сами с правами системы на всех компах которые были подключены к сети.

    Секурити эсеншал в семёрке отсутствовал из коробки, так что ещё одна лажа в новости.

    Я смотрю тут виндузятники настолько унылы стали (прямо фобии целые развились) что без антивируса жить не могут, я то только хомячков им мучал :)

    2 rionnagel
    Я тоже выключал дофига не нужных служб, когда пользовался вендой.
    Они просто не нужны. Совсем.
    Куча p2p от МС, которое мертво. Куча всяких сообщений об ошибках, диагтрах, ненужная мельтимедия и upnp и тд и тп.


  1. OnelaW
    10.05.2017 15:12
    -2

    Шел 2017 год. Одна интернациональная софтовредительная корпорация из Редмонда, продолжала исправно штопать белыми нитками свои поделки.