Microsoft недавно опубликовала рекомендацию по безопасности 4022344, в которой объявлено о серьезной уязвимости в модуле защиты от вредоносных программ.

Microsoft Malware Protection Engine

Этот инструмент используется различными продуктами Microsoft, такими как Защитник Windows и Microsoft Security Essentials на потребительских ПК. Он также используется корпорацией Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection или Windows Intune Endpoint Protection.

Уязвимость, которая затронула все эти продукты, делала возможным удаленное выполнение кода, если программа, работающая под управлением Microsoft Malware Protection Engine, просканировала созданный файл.

Исправлена ​​уязвимость Защитника Windows

6 мая 2017 года Тавис Орманди и Натали Сильванович из Google Project Zero обнаружили «худшее приложение для удаленного кода Windows в памяти». Исследователи сообщили Microsoft об этой уязвимости, и информация была скрыта от общественности, чтобы дать компании 90 дней, чтобы это исправить.

Microsoft быстро создала патч и выпустила новые версии Защитника Windows и многое другое для пользователей.

Клиенты Windows, у которых уязвимые продукты работают на своих устройствах, должны убедиться, что они обновлены.

Обновите программу на Windows 10

• Нажмите клавишу Windows, введите Защитник Windows и нажмите Enter, чтобы загрузить программу.
• Если вы запустите Windows 10 Creators Update, вы получите новый Центр безопасности Защитника Windows.
• Нажмите на значок зубчатого колеса.
• Выберите About на следующей странице.
• Проверьте версию двигателя, чтобы убедиться, что она по крайней мере 1.1.13704.0.

Обновления Защитника Windows доступны через Центр обновления Windows. Дополнительную информацию об обновлении продуктов Microsoft для защиты от вредоносных программ вручную можно найти в центре защиты от вредоносных программ на веб-сайте Microsoft.

Отчет об уязвимостях Google на веб-сайте Project Zero

Вот:

Уязвимости в MsMpEng являются одними из наиболее серьезных в Windows из-за привилегий, доступности и повсеместного использования сервиса.

Основной компонент MsMpEng, отвечающий за сканирование и анализ, называется mpengine. Mpengine - это обширная и сложная поверхность атаки, включающая обработчики для десятков эзотерических форматов архивов, исполняемые упаковщики и криптаторы, полные системные эмуляторы и интерпретаторы для различных архитектур и языков и так далее. Весь этот код доступен удаленным злоумышленникам.

NScript - это компонент mpengine, который оценивает любую файловую систему или сетевую активность, которая выглядит как JavaScript. Чтобы было ясно, это интерпретатор JavaScript без ящиков и с высокими привилегиями, который используется для оценки ненадежного кода по умолчанию во всех современных системах Windows. Это так удивительно, как кажется.