Tavis Ormandy de Google Project Zero ha encontrado un fallo en Windows Defender que permite a un atacante para eludir la herramienta anti-virus de Microsoft.
El popular pirata informático Google Project Zero Tavis Ormandy ha descubierto un nuevo error en Windows Defender que permite a un atacante eludir la herramienta anti-virus de Microsoft.Ormandy a conocer públicamente la noticia de la vulnerabilidad de Windows Defender el 23 de junio después de que Microsoft lanzó una por su software. Ormandy informó de la vulnerabilidad a Microsoft el 9 de junio.
La vulnerabilidad reside en el emulador x86 no utiliza un recinto de seguridad de Windows Defender.
El experto explicó que la instrucción “apicall” puede invocar las API internas del emulador ellos ejecutan con privilegio de sistema, por desgracia, está expuesto a ataques remotos por defecto.
El hacker descubrió un problema de daños en el montón en el API KERNEL32.DLL! VFS_Write.
“Discutí de Microsoft‘ apicall instrucción’que puede invocar un gran número de internos del emulador apis y se expone a un atacante remoto por defecto en todas las versiones recientes de Windows.
“Este emulador x86 completa del sistema se ejecuta como SYSTEM, es la zona de pruebas, está activada por defecto y accesible de forma remota a los atacantes. Tomé una puñalada rápida de escribir una fuzzer y encontré de inmediato daños en el montón en la API KERNEL32.DLL! VFS_Write, sospecho que esto nunca se ha Fuzzed antes “. segun Tavis Ormandy
Después de la revelación del error, Ormandy publicó un caso de prueba mínima para explotar el bug:
MpApiCall(“NTDLL.DLL”, “VFS_Write”, 1, Buf, 0, 0xffffffff, 0);
MpApiCall(“NTDLL.DLL”, “VFS_Write”, 1, Buf, 0x7ff, 0x41414141, 0);
“La primera llamada se extiende la longitud del archivo a nDesplazamiento, sino porque el parámetro numberOfBytes es 0 se asigna ningún espacio. A continuación, puede leer y escribir datos arbitrarios a un desplazamiento a la memoria intermedia de objetos MutableByteStream arbitraria. Esta es una muy poderosa hazaña primitivo, y no parece difícil explotación.”, Agregó.
Microsoft lanzó una versión fija del motor de protección contra malware, versión 1.1.13903.0
Fecha actualización el 2017-6-26. Fecha publicación el 2017-6-26. Categoría: Windows. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs