MARKETY.RU
Бронирование отелей     Авиабилеты

Microsoft срочно выпустила патч, закрывающий уязвимость в своем движке защиты от вирусов



Компания Microsoft была вынуждена срочно выпускать обновление для движка антивирусной защиты MPE, который используется в Windows 10 и почти всех предыдущих версиях этой ОС. В Malware Protection Engine была обнаружена уязвимость под индексом CVE-2017-11937. Она затрагивает такие продукты компании, как Windows Defender, Microsoft Security Essentials, Endpoint Protection, Forefront Endpoint Protection, Exchange Server 2013 и Exchange Server 2016. Первыми данную уязвимость, позволяющую злоумышленникам получить полный контроль над системой обнаружили эксперты национального центра киберразведки Великобритании.

Особенностью этой уязвимости является то, что она срабатывает при сканировании антивирусной защитой специально сформированного файла. При этом происходит повреждение памяти и злоумышленники получают возможность запустить на атакованном компьютере выполнение любого кода с правами встроенной учётной записи LocalSystem. Кибербандиты смогут устанавливать программы. Менять настройки системы и создавать новые учетные записи.

 

Уязвимость в MPE

 

Учитывая, что обязанностью Malware Protection Engine как раз и является сканирование всех входящих файлов, для атаки на систему можно применять любой способ доставки информации. Зараженный файл можно отправить жертве по электронной почте, через мессенджер или дать скачать с веб-сайта. Согласно утверждениям Microsoft, сведений об эксплуатации этой уязвимости нет, а так как обновления MPE устанавливаются автоматически, пользователям беспокоиться не о чем.

Популярность Windows делает эту операционную систему самым желанным объектом для взлома. Хакеры концентрируют свое внимание и постоянно находят новые уязвимости. Но еще хуже, когда хакеры находят не уязвимости, а «фирменные» особенности архитектуры Windows илди ее компонентов. Например, на конференции Black Hat Europe 2017 эксперты показали, как можно использовать особенности файловой системы NTFS для взлома Windows.

Механизм транзакций NTFS позволяет осуществлять инъекции кода с помощью создания «двойников процессов» (Process Doppelgänging). Речь идет о внесении изменений в исполняемый фал и запуск его до того, как система откатит назад изменения. Такая методика позволяет запускать произвольный код, минуя все встроенные механизмы защиты операционной системы.



2017-12-10 .. cifrovik.ru






Рейтинг@Mail.ru


0 | 0.00069904327392578