Systemy od Microsoft to nie od dziś siedlisko dziur, wirusów i różnego rodzaju podatności.

Można o tym przeczytać w sieci albo sprawdzić na własnej skórze — jak kto woli. Okazuje się jednak, że na dniach światło słoneczne ujrzała informacja dotycząca najpoważniejszej luki w bezpieczeństwie, jaka miała miejsce w ostatnich latach w systemach Microsoft Windows. Z informacji wynika, że podatne na nią są wszystkie Windowsy 8, 8.1, 10.

Ekstremalnie poważna podatność znajduje się w domyślnie instalowanym razem z systemem, antymalware.

Podany serwis to MsMpEng, czy Malware Protection service. Usługa ta jest domyślnie włączana w systemach Windows 8, 8.1 i Windows 10. Jest on też automatycznie uruchamiany w niektórych wersjach serwerowych. Co jest w tym wszystkim najśmieszniejsze, to fakt, że dziura była na tyle poważna, że Microsoft wypuścił do niej patcha w … 2 dni!!! Myślę, że to zdecydowanie ich rekord szybkości i chyba sami siebie nigdy nie pobiją.

Jak zatem działa podatność, którą praktycznie każdy user Windows 8, 8.1 i Windows 10 posiada?

MsMpEng automatycznie skanuje pliki przesyłane do chronionego Windowsa. Nie jest to w ogóle zależne od tego, czy są wysyłane np. mailem, ściągane przeglądarką czy znajdujące się na pendrive. Co ciekawe, nie jest w tym przypadku konieczne nawet otwarcie pliku. Tak jest w systemach antymalware’owych nie od dziś.

Swoje zdanie na ten temat wyraziła także ekipa Google:

„Vulnerabilities in MsMpEng are among the most severe possible in Windows, due to the privilege, accessibility, and ubiquity of the service. The attached proof of concept demonstrates this, but please be aware that downloading it will immediately crash MsMpEng in it’s default configuration and possibly destabilize your system. Extra care should be taken sharing this report with other Windows users via Exchange, or web services based on IIS, and so on.”

Co więcej, załodze z Project Zero należącego do Google udało się znaleźć nieuwierzytelnione wykonanie kodu w systemie antymalware’owym firmy Microsoft. Wnioski nie są zadowalające. Oznacza to bowiem, że wystarczy wysłać do kogoś odpowiednio zainfekowanego maila i w zasadzie bez żadnej interakcji ofiary mamy wykonanie kodu na Windows i to z pełnymi uprawnieniami NT AUTHORITY\SYSTEM. Sami oceńcie, w jakim stopniu luka jest poważna. Szybkość wydania patcha mówi sama za siebie.

Pojawił się też już serwis, w którym możecie przetestować, czy wasz system jest podatny.

PJ
Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.