Microsoft corrige nova falha de segurança existente no Malware Protection Engine

No inicio do mês a Microsoft corrigiu uma falha de segurança no Malware Protection Engine.

A descoberta desta falha, feita pelo investigador Travis Ormandy serviu de base para que fosse mais tarde descoberta uma outra falha no mesmo Malware Protection Engine só que, em vez de ser comunicada publicamente, foi revelada diretamente à Microsoft.

Segundo o investigador, o MsMpEng possui integrado um emulador x86 que é usado para a execução de ficheiros “duvidosos”. Este emulador possui permissões NT AUTHORITY\SYSTEM para a execução desses ficheiros e não é isolado.

Travis ao navegar pela lista de APIs Win32 que o emulador suporta, encontrou a rotina ntdll!NtControlChannel, uma função que, basicamente, permite que o código emulado controle o emulador.

O investigador conclui que um atacante pode consultar os ficheiros locais do utilizador através dos resultados obtidos pela análise do Windows Defender e, na pior hipótese, executar remotamente códigos maliciosos no computador.

A Microsoft teve consciência da gravidade do problema e decidiu disponibilizar uma atualização que é aplicada de forma automática.

Gosta da Leak? Contamos consigo! Siga-nos no Google Notícias. Clique aqui e depois em Seguir. Obrigado!

Siga-nos no Facebook, Twitter, Instagram! Quer falar connosco? Envie um email para geral@leak.pt.

Leia também

Deixe um comentário