Kritikus biztonsági rést foltozott a Microsoft
Teljes kontrollt kínált a windowsos PC-k fölött egy nemrég felfedezett hiba a Malware Protection Engine-ben. A sebezhetőséget a Microsoft rohamtempóban javította.
Soron kívüli biztonsági frissítést adott ki a Microsoft, amellyel egy több Windows verziót is érintő, kritikus biztonsági hibát javít. A CVE-2017-11937 kódnéven jegyzett sebezhetőség a Malware Protection Engine-t (MPE) érinti és távoli kódfuttatást tesz lehetővé a potenciális támadók számára, akik így akár teljes kontrollt is szerezhetnek az áldozat számítógépe fölött. Az MPE egy sor, a cég által kiadott biztonsági termék alapját képezi, mint a Microsoft Security Essentials, a Windows Defender vagy épp a Microsoft Forefront, amelyek így mind érintettek.
A Microsoft közleménye szerint a hiba kihasználásához a támadóknak egy egyedileg előkészített fájlra van szükségük, amelyet az MPE nem ellenőriz megfelelően. A védvonalon átcsúszó fájlnak hála ezután tetszőleges kódfuttatásra nyílik lehetőség, legyen szó további kártevők telepítéséről, a felhasználó által tárolt információk megszerzéséről vagy törléséről, de a behatoló akár új felhasználói fiókokat is létrehozhat.
IT-security meetup és Tóth Szabolcs standupja a SYSADMINDAY-en! 4 top IT-biztonsági előadóval, Tóth Szabolcs (Szomszédnéni Produkciós Iroda) standupjával vár az idei SYSADMINDAY, most pénteken!
A folyamat megindításához szükséges fájlt a támadók kártékony weboldalakon, emailben vagy akár valamelyik chatkliensen keresztül is eljuttathatják a kiszemelt gépre, sőt a Microsoft szerint arra is lehetőségük van, hogy egy megosztott online tárhelyen közzétegyék, ahol aztán az adott szerveren futó MPE futhat bele. A fenyegetés azokra jelenti a legnagyobb veszélyt, akiknél a valós idejű védelem be van kapcsolva, ennél ugyanis a rendszer automatikusan ellenőrzi a beérkező fájlokat. Ha a funkció nem aktív, a támadónak várnia kell, míg az előre beidőzített ellenőrzés bekapcsol.
A soron kívüli frissítés a sebezhetőséget automatikusan orvosolja, korrigálva az MPE hibás fájlellenőrzési folyamatát. A Microsoft szerint sem a felhasználóknak, sem pedig a rendszergazdáknak nincs teendőjük az ügyben, a vészpatch a kiadását követő 48 órában minden érintett rendszeren automatikusan élesedik - a pontos időpont az online kapcsolattól és az adott szoftverkonfigurációtól függ. Miután azonban a vállalat a javításról először tegnap előtt számolt be, mára-holnapra mindenki biztonságban érezheti magát. Rövidesen egyébként újabb frissítéscsomagra is számíthatunk, hiszen a redmondi cég decemberi patch-keddje is közeleg.
A sebezhetőséget a The Hacker News értesülései szerint a brit National Cyber Security Centre (NCSC), az Egyesült Királyság egyik titkosszolgálata, a GCHQ szervezete jelezte a Microsoft felé. A vállalat szerint a hibát kihasználó támadásra a veszélyeztetett időszakban nem volt példa.