Microsoft ha recentemente patchato una vulnerabilità di sicurezza nel suo Malware Protection Engine (MsMpEng), motore anti-malware alla base di Windows Defender e di altri prodotti di sicurezza integrati in tutte le versioni di Windows 10. Un bug pericoloso, incredibilmente facile da sfruttare, che ha richiesto precauzioni speciali anche per l’invio del codice dimostrativo da parte di chi l’ha scoperto per evitare di mandare in crash i server di posta di Redmond.
Come già successo molte volte nel recente passato, a scovare il baco è stato un ricercatore in forza al Project Zero di Google : Tavis Ormandy ha usato un fuzzer , vale a dire una tecnica pensata per identificare le vulnerabilità di sicurezza inondando un programma con dati casuali per verificarne il comportamento, e ha scoperto il problema nell’emulatore x86 dell’engine MsMpEng.
Il suddetto emulatore serve ad eseguire file non sicuri e potenzialmente malevoli, e per sfruttare il bug basta inviare un file appositamente malformato (tramite email, visita di un sito Web o in altro modo) ad un sistema Windows 10 così da forzare Windows Defender all’azione: il risultato finale è l’esecuzione di codice arbitrario con i privilegi di LocalSystem , un account che secondo Microsoft è in grado di fare praticamente tutto sul sistema, incluso installare programmi, visualizzare, modificare o cancellare dati, creare nuovi account con pieni privilegi di accesso.
Il codice dimostrativo messo assieme da Ormandy è stato infine inviato a Microsoft per lo sviluppo della patch, anche se il ricercatore ha dovuto cifrare il file incriminato per evitare di mandare in crash il mail server della corporation. Il bug, che è stato ora corretto, avrebbe avuto un valore di milioni di dollari sul mercato nero delle vulnerabilità di sicurezza e relativi exploit a beneficio dei cyber-criminali.
Microsoft continua a sperimentare problemi con i suoi software di sicurezza presenti in Windows 10 fuori e dentro le aule dei tribunali , ma non per questo la corporation sembra intenzionata a retrocedere dalla sua nuova politica di stretta integrazione tra MsMpEng e l’OS-come-servizio. Nella versione Enterprise del prossimo update a Windows 10 (Redstone 3), Redmond intende implementare nuove funzionalità pensate per rafforzare la sicurezza di Defender e compagnia, inclusa la re-ingegnerizzazione di Enhanced Mitigation Experience Toolkit (EMET) come componente nativo del sistema.
Ti potrebbe interessare
