上周,微软在它的恶意软件保护引擎中修补了一个非常严重的漏洞,在此漏洞发现之后的第一时间里,微软就悄无声息的进行了修补工作。其实这个漏洞在5月12日的时候就已经被Google的ProjectZero小组发现,该小组成员声称,攻击者首先会编写一个可执行文件,当恶意软件保护引擎的仿真器开始执行时就可以启用远程执行代码。
ProjectZero小组的研究员TavisOrmandy表示,谷歌的研究人员在5月9号的时候发现了微软有一个严重漏洞,当时微软推出了紧急补丁,与上次的情形不同,这次的漏洞修补工作进行的无声无息。之前的零日漏洞(CVE--)也是产生在微软的恶意软件保护引擎中,这个漏洞运行在大部分和Windows有捆绑的反恶意软件中。
Ormandy指出,“MsMpEng包含一个完整的x86的模拟器系统,这个系统可以用于执行任何看起来像是PE可执行文件但是实际上却不受信任的文件。模拟器在运行时和沙箱不同,它更类似于NTAUTHORITY\SYSTEM。模拟器能够支持浏览win32API的列表,甚至可以从中发现ntdll。其中的NtControlChannel,一个类似ioctl的函数,可以允许仿真代码来控制模拟器。”这种形式就暴露了MsMpEng引擎存在一些问题,比如能够赋予攻击者执行各种输入/输出控制命令的能力。
Ormandy还提到,“命令0x0C可以允许你解析任意攻击者控制的RegularExpressions到MicrosoftGRETA(微软自年代初以来就放弃的一个库)。命令0x12可以允许你加载可替代操作码的其它‘微代码’。各种命令可以允许你更改执行参数,设置和读取扫描属性和UFS元数据。这至少算得上是一个隐私泄露,因为攻击者可以查询你设置的研究属性,然后通过扫描结果进行检索。”
微软和谷歌均未作出回应。
enSilo公司的联合创始人兼首席执行官UdiYavo在一次采访中说道:“和微软的早期0day漏洞不同的是,MsMpEng虽然潜在威胁性很大,但是在两周之内,就完成了修复。”
Yavo陈述道,MsMpEng是否是沙箱也是大家白殿北京治疗白癜风医院在哪里
