微软为Windows恶意软件扫描程序中的关键RCE发布紧急补丁

微软自己的防病毒软件使Windows 7、8.1、RT和10计算机以及Windows Server 2016更容易受到攻击。

微软刚刚发布了一个带外安全更新，以修补谷歌Project Zero的两名研究人员在周末发现的疯狂错误。

安全研究人员塔维斯·奥曼迪（Tavis Ormandy）周末在推特上宣布，他和另一位零号项目研究人员娜塔莉·西尔瓦诺维奇（Natalie Silvanovich）发现了这一点“最近内存中最糟糕的Windows远程代码[执行漏洞]。”

Natalie Silvanovich还发布了一个概念验证（PoC）利用代码，可以放在一条推文中。

据两人透露，报告的RCE漏洞可能会对默认安装起作用“可怕的”能力–；能够在受感染的计算机上自我复制，然后自动传播到其他PC。

根据微软发布的一条建议，可远程利用的安全漏洞（CVE-2017-0290）存在于微软恶意软件保护引擎（MMPE）和#8211；该公司自己的防病毒引擎可用于完全破坏Windows PC，而无需任何用户交互。

受影响的反恶意软件列表

最终，微软恶意软件保护引擎附带的每一个反恶意软件都容易受到该漏洞的攻击。受影响的软件包括：

• Windows Defender
• 微软安全软件
• Microsoft System Center端点保护
• 针对SharePoint的Microsoft Forefront安全性
• Microsoft端点保护
• Microsoft Forefront端点保护

微软的Defender安全软件默认在Windows 7、8.1、RT 8.1和Windows 10以及Windows Server 2016上启用。所有这些都有完全远程系统受损的风险。

Microsoft恶意软件保护引擎中的远程代码执行漏洞

该漏洞存在于Microsoft恶意软件保护引擎扫描文件的方式中。攻击者可能会制作一个恶意文件，从而导致目标系统上的内存损坏。

研究人员已将该缺陷标记为“缺陷”类型混淆NScript是“mpengine的一个组件，用于评估任何看起来像JavaScript的文件系统或网络活动”，它无法验证JavaScript输入。

谷歌安全研究人员在Chromium论坛上发布的一份错误报告中解释道：“需要明确的是，这是一个未打包且具有高度特权的JavaScript解释器，默认情况下用于评估所有现代Windows系统上不受信任的代码。这听起来很令人惊讶。”。

由于防病毒程序在默认情况下启用了实时扫描功能，在创建、打开、复制或下载文件时自动扫描文件，因此一旦下载恶意文件，就会触发攻击，从而感染目标计算机。

黑客可以通过多种方式利用该漏洞，比如发送电子邮件、引诱受害者访问发送恶意文件的网站，以及即时消息。

研究人员解释说：“在工作站上，攻击者可以通过向用户发送电子邮件（无需阅读电子邮件或打开附件）、访问web浏览器中的链接、即时消息等方式访问mpengine。”。

“这种级别的可访问性是可能的，因为MsMpEng使用文件系统微过滤器来拦截和检查所有系统文件系统活动，所以将受控内容写入磁盘上的任何位置（例如缓存、临时internet文件、下载（甚至未经确认的下载）、附件等）就足以访问mpengine中的功能。”

注入的恶意负载以提升的LocalSystem级别权限运行，这将允许黑客获得对目标系统的完全控制，并执行安装间谍软件、窃取敏感文件和登录凭据等恶意任务。

微软对这个问题做出了非常迅速的回应，并在短短3天内推出了一个补丁，这非常令人印象深刻。该补丁现在可以通过Windows 7、8.1、RT和10的Windows Update获得。

Microsoft恶意软件保护引擎（MMPE）的易受攻击版本为1.1.13701.0，修补版本为1.1.13704.0。

默认情况下，Windows PC会自动安装引擎的最新定义和更新。因此，您的系统将在1-2天内自动安装紧急更新，但您也可以通过按设置中的“检查更新”按钮立即安装。