La mise à jour de sécurité Microsoft corrige un défaut du moteur de protection contre les logiciels malveillants
le 3 avril, Microsoft a libéré une mise à jour de sécurité d'urgence via la Mise à jour de Windows qui fixe CVE-2018-0986, une vulnérabilité dans Microsoft Malware Protection Engine (MMPE).
MMPE est (mpengine.dll) le balayage de malware, la détection et le nettoyage de la composante de plusieurs antivirus de Microsoft et de programmes antispyware, tels que le Défenseur de Windows, la sécurité de Microsoft l'Essentiel, Microsoft Endpoint Protection, Windows la Protection de Point final d'Intune et Microsoft Forefront Endpoint Protection.
Microsoft a évalué la vulnérabilité comme «critique», son plus haut niveau de gravité. "Pour exploiter cette vulnérabilité, un fichier spécialement conçu doit être analysé par une version affectée du Microsoft Malware Protection Engine", a indiqué la société dans un avis.
L'exploitation est triviale,comme un attaquant peut héberger le code malveillant dans des fichiers JavaScript servis sur un site Web auquel la victime accède, ajouter le code malveillant pour envoyer des pièces jointes par courrier électronique ou envoyer un fichier intercepté à une victime via un client de messagerie instantanée.
Parce que le composant MMPE analyse automatiquement tous les fichiers entrants par défaut,
aucune interaction de l'utilisateur n'est nécessaire pour exploiter la faille.
De plus, sous Windows 10, Windows Defender est activé par défaut, de sorte que tous les systèmes Windows 10 sont prêts à l'emploi et nécessiteront une mise à jour.
MMPE est (mpengine.dll) le balayage de malware, la détection et le nettoyage de la composante de plusieurs antivirus de Microsoft et de programmes antispyware, tels que le Défenseur de Windows, la sécurité de Microsoft l'Essentiel, Microsoft Endpoint Protection, Windows la Protection de Point final d'Intune et Microsoft Forefront Endpoint Protection.
Vulnérabilité notée "critique"
Un chercheur de sécurité de Google a découvert une faille dans le composant MMPE qui permet aux pirates d'exécuter du code malveillant sur une machine Windows. Étant donné que le composant MMPE s'exécute avec des privilèges système, le bogue, s'il est exploité, peut accorder aux attaquants un contrôle complet sur le système d'une victime.Microsoft a évalué la vulnérabilité comme «critique», son plus haut niveau de gravité. "Pour exploiter cette vulnérabilité, un fichier spécialement conçu doit être analysé par une version affectée du Microsoft Malware Protection Engine", a indiqué la société dans un avis.
L'exploitation est triviale,comme un attaquant peut héberger le code malveillant dans des fichiers JavaScript servis sur un site Web auquel la victime accède, ajouter le code malveillant pour envoyer des pièces jointes par courrier électronique ou envoyer un fichier intercepté à une victime via un client de messagerie instantanée.
Parce que le composant MMPE analyse automatiquement tous les fichiers entrants par défaut,
aucune interaction de l'utilisateur n'est nécessaire pour exploiter la faille.
De plus, sous Windows 10, Windows Defender est activé par défaut, de sorte que tous les systèmes Windows 10 sont prêts à l'emploi et nécessiteront une mise à jour.
Les mises à jour devraient arriver sur les PC d'utilisateur dans les 48 heures
Les bonnes nouvelles sont que Microsoft a découplé des mises à jour composantes MMPE des mises à jour d'OS, en voulant dire que Microsoft peut livrer silencieusement les pièces nécessaires sans avoir besoin de l'action réciproque d'utilisateur.
Le fabricant OS a fixé le défaut dans la version 1.1.14700.5 MMPE, qui devrait être déployée sur tous les systèmes vulnérables dans les 48 heures suivantes à moins que le système admins et les propriétaires de PC n'aient bloqué spécifiquement des mises à jour de MMPE via les politiques locales.
Microsoft a cru Thomas Dullien de Zéro de Projet de Google pour découvrir la vulnérabilité CVE-2018-0986. C'est le quatrième insecte d'exécution codé lointain MMPE semblable que l'équipe Zéro de Projet a découvert dans le Moteur de Protection Malware de Microsoft [1, 2, 3]. L'agence d'espion de GCHQ du Royaume-Uni a trouvé et a signalé un insecte MMPE semblable en décembre dernier.