Microsoft ha parcheado una vulnerabilidad crítica en su motor de protección contra malware descubierta el 12 de mayo por los investigadores de equipo del Proyecto Cero de la Google.
La vulnerabilidad podría ser explotada por un atacante que elabora un ejecutable que cuando son procesadas por el emulador del motor de protección contra malware podría provocar la falla RCE.El 9 de mayo, el Proyecto Cero de Google descubrió otra falla, seguimiento como CVE-2017-0290, que se soluciono con un parche de emergencia lanzado sólo tres días después de su divulgación.
De acuerdo con el investigador del Proyecto Cero Tavis Ormandy a diferencia de la vulnerabilidad CVE-2017-0290, este fallo fue una solución silenciosa. Ormandy informo de forma privada de la vulnerabilidad a Microsoft.
"MsMpEng incluye un emulador x86 completo del sistema que se utiliza para ejecutar cualquier archivo que no se confía que se parecen a archivos ejecutables. El emulador se ejecuta como NT AUTHORITY\SYSTEM y no es un recinto de seguridad “, segun Ormandy. “Navegar por la lista de las API de Win32 que admite el emulador, me di ntdll ! NtControlChannel, ioctl -como rutina que permite que el código para controlar el emulador emular.” Segun el aviso de seguridad .
La vulnerabilidad recientemente parcheado está ligada a la forma en que el emulador procesa los archivos, por su parte, el anterior estaba afectando intérprete de JavaScript del MsMpEng.
El atacante puede explotar la vulnerabilidad para ejecutar una serie de comandos de control.
“Comando0x0C permite le permite analizar RegularExpressions controlados arbitraria-atacante Microsoft GRETA (una biblioteca abandonada desde la década de 2000). Esta biblioteca no es seguro para procesar expresiones regulares no son de confianza, un caso de prueba que se estrella MsMpEng adjunta. Tenga en cuenta que solamente ejecutables empaquetados pueden utilizar expresiones regulares, la muestra adjunta estaba lleno con UPX. ¯ \ _ (ツ) _ / ¯
El comando 0x12 permite cargar “microcódigo” adicional que puede sustituir a los códigos de operación. Al menos, hay un desbordamiento de enteros cálculo de número de códigos de operación proporcionadas. También puede redirigir la ejecución a cualquier dirección en una página “de confianza”.
Varios comandos permiten cambiar los parámetros de ejecución, ajustar y leer los atributos de exploración y metadatos UFS. Esto parece como una pérdida de privacidad, al menos, ya que un atacante puede consultar la investigación de los atributos establecidos y luego lo recupera a través de resultados del análisis. ”segun el aviso.
La vulnerabilidad es difícil de explotar, incluso si no está MsMpEng un recinto de seguridad, con muchas aplicaciones de sandboxed, esto implica que el atacante necesita para evadir la caja de arena para desencadenar el problema.
