Microsoft выпустила внеочередное обновление для Malware Protection Engine, включив в него патч для критической уязвимости, позволяющей удаленно выполнить код и установить контроль над системой. Использование данной бреши в реальных атаках пока не зафиксировано.

Движок Microsoft Malware Protection Engine (mpengine.dll), интегрированный во многие антивирусные решения компании, обеспечивает сканирование, обнаружение и удаление вредоносного ПО. По этой причине серьезные баги в этом компоненте ставят под удар прежде всего системы Windows со встроенной защитой.

Согласно бюллетеню, новая уязвимость (CVE-2018-0986) затрагивает Microsoft Exchange Server 2013 и 2016, Microsoft Forefront Endpoint Protection 2010, Microsoft Security Essentials, Windows Intune Endpoint Protection, а также Windows Defender на всех серверных и клиентских Windows.

Эта уязвимость проявляется как нарушение целостности памяти при сканировании некоторых файлов в формате .rar. Обнаруживший брешь Томас Даллиен (Thomas Dullien) из Google Project Zero уверен, что в ее наличии повинен распаковщик rar-архивов — проект с открытым исходным кодом, который используется в антивирусном движке Microsoft в модифицированном виде.

В бюллетене Microsoft отмечено, что в случае успешной эксплуатации автор атаки сможет выполнить произвольный код в контексте процесса с привилегиями LocalSystem и захватить контроль над системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полным набором прав.

Подать вредоносный rar-файл на сканирование можно разными способами: через веб, электронную почту или IM-связь. При этом от пользователя не потребуется никаких дополнительных действий: при заходе на сайт или открытии присланного файла уязвимая система осуществит проверку, и эксплойт отработает. Можно также загрузить архив с эксплойт-кодом на файлообменник, и он будет просканирован прямо на сервере, если тот использует соответствующую защиту.

По словам Microsoft, ее движок сканирует файлы автоматически, если в антивирусном ПО включен режим защиты в реальном времени. В противном случае злоумышленнику придется ждать, когда скан запустится по расписанию.

Уязвимости CVE-2018-0986 подвержены все версии Microsoft Malware Protection Engine до 1.1.14600.4 включительно. Устраняющий ее выпуск 1.1.14700.5 будет установлен повсеместно через встроенный механизм автообновления.

Стоит отметить, что это далеко не первый RCE-баг, объявившийся в антивирусном движке Microsoft. Аналогичные бреши команда Google Project Zero находила и в прошлом году — в начале мая и в июне. Еще две уязвимости Microsoft залатала в плановом порядке в декабре — их обнаружили исследователи из британского Национального центра кибербезопасности (NCSC).

Категории: Главное, Уязвимости