Корпорация Microsoft в оперативном режиме исправила уязвимость в коде встроенного антивируса ОС Windows. Эта уязвимость делала почти любой компьютер открытым для киберпреступников, включая ПК, которые работают на версиях Windows от 7 до Server 2016. Сотрудникам компании из Рэдмонда удалось решить проблему всего за три дня.
Эксплоит, о котором идет речь, получил официальное название CVE-2017-0290. Он позволяет удаленно атаковать систему без взаимодействия с учетной записью владельца ПК. Киберпреступнику достаточно отправить e-mail или IM-сообщение, которое проверено Windows Defender. Как оказалось, все, что автоматически проверено Defender, включая сайты, пути общего доступа к файлам, может быть использовано для атаки.
Специалист по информационной безопасности Тэвис Орманди из Google Project Zero заявил, что эксплоит для Windows, о котором идет речь, является «червеподобным». Эксплоит можно использовать для реализации серии последовательных атак, которые будут производиться в автоматическом режиме от машины к машине (в случае, если такие ПК уязвимы).
Впервые Орманди заявил о проблеме в пятницу вечером. Сам он назвал возможность удаленной атаки на Windows «самым опасным эксплоитом за последнее время» и предупредил о том, что атака эффективна в отношении «дефолтной установки, причем компьютеры не должны быть обязательно быть в одной локальной сети». Большинство экспертов по информационной безопасности высказались в том плане, что корпорации понадобится несколько недель для исправления проблемы. Но, к удивлению многих, сотрудники Microsoft выпустили патч уже в понедельник вечером.
Эксплоит поражает процесс MsMpEngine, который работает с максимальным уровнем доступа к системе. Именно поэтому этот эксплоит так опасен. MsMpEng.exe — это ключевой процесс программы Windows Defender, которая создана Microsoft для борьбы со зловредами. Процесс сканирует загружаемые файлы на наличие программ-шпионов. Если вдруг обнаруживается malware, то такие элементы отправляются в карантин или удаляются.
Если точнее, то уязвимость содержит один из компонентов MSMPEngine, который называется Nscript. Именно его зловред поражает при помощи эксплоита, содержащего всего нескольких строк JavaScript. Nscript никогда не помещается в «песочницу» и работает с высшим уровнем доступа к системе, как и процесс MsMpEngine. Атака может быть осуществлена с использованием zip-файла, Python файла, файла образа (ROM), по локальной сети и по интернету.