Microsoft gần đây đã xuất bản Tư vấn bảo mật 4022344, thông báo lỗ hổng bảo mật nghiêm trọng trong Công cụ bảo vệ phần mềm độc hại.

Công cụ bảo vệ phần mềm độc hại của Microsoft

Công cụ này được sử dụng bởi các sản phẩm khác nhau của Microsoft như Windows Defender và Microsoft Security Essentials trên PC tiêu dùng. Nó cũng được sử dụng bởi Microsoft Endpoint Protection, Microsoft Premfront, Microsoft System Center Pointpoint Protection hoặc Windows Intune Endpoint Protection ở phía doanh nghiệp.

Lỗ hổng ảnh hưởng đến tất cả các sản phẩm này có thể cho phép thực thi mã từ xa nếu một chương trình chạy Microsoft Malware Protection Engine quét một tệp được tạo.

Đã sửa lỗi Windows Defender

Tavis Ormandy và Natalie Silvanovich từ Google Project Zero đã phát hiện ra người thực thi mã từ xa Windows tồi tệ nhất trong bộ nhớ gần đây vào ngày 6 tháng 5 năm 2017. Các nhà nghiên cứu đã nói với Microsoft về lỗ hổng này và thông tin được giấu kín khỏi công chúng để cung cấp cho công ty 90 ngày để sửa nó.

Microsoft đã nhanh chóng tạo ra một bản vá và đẩy ra các phiên bản Windows Defender mới và nhiều hơn nữa cho người dùng.

Khách hàng Windows có các sản phẩm bị ảnh hưởng chạy trên thiết bị của họ phải đảm bảo rằng chúng được cập nhật.

Cập nhật chương trình trên Windows 10

• Nhấn phím Windows, nhập Windows Defender và nhấn Enter để tải chương trình.
• Nếu bạn chạy Cập nhật người tạo Windows 10, bạn sẽ có Trung tâm bảo mật Windows Defender mới.
• Nhấp vào biểu tượng bánh răng.
• Chọn Giới thiệu trên trang tiếp theo.
• Kiểm tra Phiên bản động cơ để đảm bảo ít nhất 1.1.13704.0.

Bản cập nhật Windows Defender có sẵn thông qua Windows Update. Thông tin thêm về việc cập nhật các sản phẩm chống phần mềm độc hại của Microsoft theo cách thủ công có sẵn trên trung tâm Bảo vệ phần mềm độc hại trên trang web của Microsoft.

Báo cáo lỗ hổng của Google trên trang web Project Zero

Đây là:

Các lỗ hổng trong MsMpEng là một trong những lỗi nghiêm trọng nhất có thể có trong Windows, do đặc quyền, khả năng truy cập và tính phổ biến của dịch vụ.

Thành phần cốt lõi của MsMpEng chịu trách nhiệm quét và phân tích được gọi là mpengine. Mpengine là một bề mặt tấn công rộng lớn và phức tạp, bao gồm các trình xử lý cho hàng chục định dạng lưu trữ bí truyền, các trình đóng gói và mật mã thực thi, các trình giả lập và phiên dịch hệ thống đầy đủ cho các kiến ​​trúc và ngôn ngữ khác nhau, v.v. Tất cả các mã này có thể truy cập được cho những kẻ tấn công từ xa.

NScript là thành phần của mpengine để đánh giá bất kỳ hệ thống tệp hoặc hoạt động mạng nào trông giống như JavaScript. Để rõ ràng, đây là một trình thông dịch JavaScript không có hộp và đặc quyền cao, được sử dụng để đánh giá mã không tin cậy, theo mặc định trên tất cả các hệ thống Windows hiện đại. Điều này là đáng ngạc nhiên như nó âm thanh.