Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Mesačná správa CSIRT.SK - August 2018
Tlačové správy
10.09.2018
Analýza malvéru Pegasus
Tlačové správy
10.09.2018
Mesačný prehľad za mesiac august 2018
Tlačové správy
03.09.2018
Zahraničné zdroje
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Kritická zraniteľnosť v Microsoft Malware Protection Engine

12.05.2017
Bola zverejnená aktualizácia pre Microsoft Malware Protection Engine (súčasť Windows Defender), ktorá opravuje kritickú zraniteľnosť umožňujúcu na diaľku vykonať škodlivý kód po preskenovaní špeciálne vytvoreného súboru.

 

Dôsledky:
Úspešné zneužitie tejto zraniteľnosti útočníkovi umožňuje prebrať kontrolu nad systémom a vykonať ľubovoľný škodlivý kód so systémovými oprávneniami. Útočník potom môže inštalovať programy, prezerať, meniť a mazať dáta, prípadne vytvárať plnohodnotné používateľské účty.

Opis činnosti:
CVE-2017-0290
Zraniteľnosť je možné zneužiť, keď Microsoft Malware Protection Engine preskenuje špeciálne pripravený súbor s JavaScript kódom, v dôsledku čoho dôjde ku narušeniu integrity pamäte. Útočník má veľa možností, ako dopraviť tento súbor na používateľov systém na miesto, ktoré Microsoft Malware Protection Engine pravidelne skenuje. Jednou z možností je umiestniť škodlivý súbor v rámci obsahu webovej stránky, ktorá bude preskenovaná, keď používateľ stránku navštívi. To platí aj pre stránky prijímajúce a poskytujúce používateľský obsah, pričom škodlivý súbor môže byť preskenovaný na samotnom serveri, vďaka čomu nad ním získa útočník kontrolu. Ďalšia možnosť dopravy škodlivého súboru môže byť v podobe prílohy emailovej alebo instant messaging správy, ktorú Microsoft Malware Protection Engine preskenuje, pričom otvorenie správy ani prílohy nie je pre úspešné zneužitie nutné. Ak má používateľ aktivovanú ochranu v reálnom čase, Microsoft Malware Protection Engine bude skenovať prichádzajúce súbory automaticky, čím dôjde ku zneužitiu zraniteľnosti. V opačnom prípade by útočník musel čakať, kým prebehne plánované alebo manuálne spustená kontrola systému. V čase zverejnenia aktualizácie nie sú žiadne informácie o prípadných zneužitiach tejto zraniteľnosti v reálnych útokoch. Avšak, je verejne dostupný ukážkový exploit (Proof of Concept) na túto zraniteľnosť, na základe ktorého môže byť vytvorený funkčný exploit pre vzdialené spustenie škodlivého kódu.

Zraniteľné systémy:
Microsoft Malware Protection Engine verzie 1.1.13701.0 a starších, ako súčasť softvérov:

  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Endpoint Protection
  • Microsoft Forefront Security for SharePoint Service Pack 3
  • Microsoft System Center Endpoint Protection
  • Microsoft Security Essentials
  • Windows Defender for Windows 7
  • Windows Defender for Windows 8.1
  • Windows Defender for Windows RT 8.1
  • Windows Defender for Windows 10
  • Windows Defender for Windows 10 1511
  • Windows Defender for Windows 10 1607
  • Windows Defender for Windows 10 1703
  • Windows Defender for Windows Server 2016
  • Windows Intune Endpoint Protection

Závažnosť zraniteľnosti:
Kritická

Možné škody:
Vysoké (Remote Code Execution)

Odporúčania:
Aktualizácia sa zvyčaje aplikuje automaticky do 48 hodín po vydaní aktualizácie. Vzhľadom na závažnosť zraniteľnosti, odporúčame overiť jej úspešnosť kontrolou verzie Microsoft Malware Protection Engine. Tá musí byť aspoň 1.1.13704.0, čo je prvá verzia kde je táto zraniteľnosť ošetrená. V prípade potreby odporúčame aktualizáciu aplikovať manuálne. Návody na oba úkony možno nájsť na druhom odkaze.

Odkazy:
https://technet.microsoft.com/en-us/library/security/4022344
https://support.microsoft.com/en-us/help/2510781/microsoft-malware-protection-engine-deployment-information



<< zoznam oznámení