Tavis Ormandy de Google Project Zero ha encontrado un fallo en Windows Defender que permite a un atacante para eludir la herramienta anti-virus de Microsoft.
El popular pirata informático Google Project Zero Tavis Ormandy ha descubierto un nuevo error en Windows Defender que permite a un atacante eludir la herramienta anti-virus de Microsoft.Ormandy a conocer públicamente la noticia de la vulnerabilidad de Windows Defender el 23 de junio después de que Microsoft lanzó una por su software. Ormandy informó de la vulnerabilidad a Microsoft el 9 de junio.
La vulnerabilidad reside en el emulador x86 no utiliza un recinto de seguridad de Windows Defender.
El experto explicó que la instrucción “apicall
” puede invocar las API internas del emulador ellos ejecutan con privilegio de sistema, por desgracia, está expuesto a ataques remotos por defecto.
El hacker descubrió un problema de daños en el montón en el API KERNEL32.DLL! VFS_Write
.
“Discutí de Microsoft‘ apicall instrucción’que puede invocar un gran número de internos del emulador apis y se expone a un atacante remoto por defecto en todas las versiones recientes de Windows.
“Este emulador x86 completa del sistema se ejecuta como SYSTEM, es la zona de pruebas, está activada por defecto y accesible de forma remota a los atacantes. Tomé una puñalada rápida de escribir una fuzzer y encontré de inmediato daños en el montón en la API KERNEL32.DLL! VFS_Write, sospecho que esto nunca se ha Fuzzed antes “. segun Tavis Ormandy
Después de la revelación del error, Ormandy publicó un caso de prueba mínima para explotar el bug:
MpApiCall(“NTDLL.DLL”, “VFS_Write”, 1, Buf, 0, 0xffffffff, 0);
MpApiCall(“NTDLL.DLL”, “VFS_Write”, 1, Buf, 0x7ff, 0x41414141, 0);
“La primera llamada se extiende la longitud del archivo a nDesplazamiento, sino porque el parámetro numberOfBytes es 0 se asigna ningún espacio. A continuación, puede leer y escribir datos arbitrarios a un desplazamiento a la memoria intermedia de objetos MutableByteStream arbitraria. Esta es una muy poderosa hazaña primitivo, y no parece difícil explotación.”, Agregó.
Microsoft lanzó una versión fija del motor de protección contra malware, versión 1.1.13903.0
Fecha actualización el 2017-6-26. Fecha publicación el 2017-6-26. Categoría: Windows. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs