ترمیم بی‌سروصدای یک آسیب‌پذیری حیاتی در Windows Defender

به گزارش شرکت مهندسی شبکه گستر، شرکت مایکروسافت، بدون اطلاع‌رسانی، یک ضعف امنیتی حیاتی را در بخش Malware Protection Engine ضدویروس‌های خود نظیر Windows Defender ترمیم کرده است.

آسیب‌پذیری مذکور، 22 اردیبهشت ماه توسط یکی از محققان گروه Project Zero شرکت Google شناسایی شد. به گفته محقق کاشف این ضعف امنیتی، مهاجم قادر است با بهره‌جویی از این آسیب‌پذیری از طریق ارسال یک فایل دستکاری شده به Malware Protection Engine زمینه را برای اجرای از راه دور کد مخرب بر روی دستگاه قربانی فراهم کند.

حدود دو هفته پیش نیز مایکروسافت یک ضعف امنیتی را در همین بخش ترمیم کرده بود.

بر طبق توضیحات محقق کاشف این ضعف، فایل آسیب‌پذیر MsMpEng در Malware Protection Engine یک برابرساز (Emulator) کامل سیستمی را در اختیار دارد که از آن برای اجرای فایل‌های غیراعتماد اجرایی استفاده می‌شود. بر خلاف انتظار، در این برابرساز که با حق دسترسی NT AUTHORITY\SYSTEM بر روی دستگاه اجرا می‌شود، از روال‌های قرنطینه امن (Sandbox) استفاده نشده است. بخصوص آنکه یکی از توابع API پشتیبانی شده توسط این برابرساز، ntdll!NtControlChannel است که از طریق آن می‌توان اقدام به اجرای از راه دور کد نمود.

بر خلاف آسیب‌پذیری قبلی، مایکروسافت توصیه‌نامه‌ای در خصوص ترمیم این اشکال منتشر نکرده و صرفاً به عرضه اصلاحیه بسنده کرده است. در صورتی که تنظیمات هر یک از نرم‌افزارهای ضدویروس این شرکت در حالت دریافت خودکار به‌روزرسانی‌های Engine پیکربندی شده باشند، اصلاحیه مذکور به صورت خودکار بر روی نرم‌افزار نصب خواهد شد.