A Microsoft publicou recentemente o Comunicado de Segurança 4022344, anunciando uma grave vulnerabilidade de segurança no Malware Protection Engine.

Mecanismo de proteção contra malware da Microsoft

Essa ferramenta é usada por vários produtos da Microsoft, como o Windows Defender e o Microsoft Security Essentials em PCs de consumo. Também é usado pelo Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection ou Windows Intune Endpoint Protection no lado comercial.

A vulnerabilidade que afetou todos esses produtos pode permitir a execução remota de código se um programa executando o Microsoft Malware Protection Engine digitalizar um arquivo criado.

Corrigida a vulnerabilidade do Windows Defender

Tavis Ormandy e Natalie Silvanovich, do Google Project Zero, descobriram o “pior executor de código remoto do Windows na memória recente” em 6 de maio de 2017. Os pesquisadores disseram à Microsoft sobre essa vulnerabilidade e as informações foram mantidas ocultas do público para fornecer à empresa 90 dias para consertar.

A Microsoft criou rapidamente um patch e lançou novas versões do Windows Defender e muito mais para os usuários.

Os clientes do Windows que possuem os produtos afetados em execução em seus dispositivos devem garantir a atualização.

Atualize o programa no Windows 10

• Toque na tecla Windows, digite Windows Defender e pressione Enter para carregar o programa.
• Se você executar a Atualização de Criadores do Windows 10, receberá a nova Central de Segurança do Windows Defender.
• Clique no ícone da roda dentada.
• Selecione Sobre na próxima página.
• Verifique a versão do mecanismo para garantir que seja pelo menos 1.1.13704.0.

As atualizações do Windows Defender estão disponíveis no Windows Update. Mais informações sobre a atualização manual dos produtos antimalware da Microsoft estão disponíveis no Centro de proteção contra malware do site da Microsoft.

Relatório de vulnerabilidades do Google no site do Project Zero

Aqui está:

As vulnerabilidades no MsMpEng estão entre as mais graves possíveis no Windows, devido ao privilégio, acessibilidade e onipresença do serviço.

O componente principal do MsMpEng responsável pela verificação e análise é chamado mpengine. O Mpengine é uma superfície de ataque vasta e complexa, composta de manipuladores para dezenas de formatos de arquivo esotérico, empacotadores e criptografadores executáveis, emuladores e intérpretes de sistema completo para várias arquiteturas e linguagens, etc. Todo esse código é acessível a atacantes remotos.

O NScript é o componente do mpengine que avalia qualquer sistema de arquivos ou atividade de rede semelhante ao JavaScript. Para deixar claro, esse é um intérprete JavaScript sem caixa de areia e altamente privilegiado, usado para avaliar código não confiável, por padrão em todos os sistemas Windows modernos. Isso é tão surpreendente quanto parece.