آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

مایکروسافت، خطای ماشین حفاظت بدافزار را برطرف کرد

عنوانمایکروسافت، خطای ماشین حفاظت بدافزار را برطرف کرد
گروه اصلیOther
شرح خبر

مایکروسافت برای تمام محصولات ویندوزی، که به‌منظور پویش‌های امنیتی، به ماشین حفاظت بدافزار (Malware Protection Engine) متکی هستند، نسخه به‌روزرسانی ارائه داد.

نسخه به‌روزرسانی، باگ شناسایی شده توسط مرکز امنیت سایبری انگلستان (NCSC) را برطرف کرده است.

خطای بحرانی MMPE امکان اجرای کد از راه دور را می‌دهد

به گفته مایکروسافت، این خطا که دارای شناسه CVE-2017-11937 است، یک خطای بحرانی بوده و امکان اجرای کد از راه دور را در محصولات آسیب‌پذیر می‌دهد.

آسیب‌پذیری اجرای کد راه دور، زمانی ایجاد می‌شود که ماشین حفاظت بدافزار مایکروسافت، یک فایل ساختگی را به‌درستی پویش نمی‌کند و منجر به انحراف حافظه می‌شود. مهاجمی که با موفقیت از این آسیب‌پذیری سوءاستفاده می‌کند، می‌تواند کد دلخواه خود را در زمینه امنیتی حساب LocalSystem اجرا کند و کنترل سیستم را به ‌دست بگیرد. پس از آن مهاجم می‌تواند برنامه‌هایی را نصب کند؛ داده‌ها را مشاهده کرده، تغییر داده یا حذف کند؛ یا حساب‌های کاربری جدید با امتیازات کامل ایجاد نماید.

برای سوءاستفاده از این نقص، مهاجم ابتدا باید یک فایل مخرب ساختگی ایجاد کند و آن را به کامپیوتر راه دور ارسال کند. این فایل می‌تواند به‌واسطه رایانامه، داخل پیام‌های IM، به‌عنوان بخشی از کد یک وب‌سایت، زمانی که کاربر به سایت دسترسی دارد، یا در هر مکان دیگری که به‌صورت پیش‌فرض توسط ماشین حفاظت بدافزار مایکروسافت پویش می‌شود، قرار گیرد.

ماشین حفاظت بدافزار مایکروسافت، برای پویش به‌هنگام فایل‌ها به صورت خودکار، طراحی شده، که این مسأله منجر به سوءاستفاده سریع و آسان از این آسیب‌پذیری می‌شود.

ماشین حفاظت بدافزار در محصولاتی مانند Windows Defender، Microsoft Security Essentials، Microsoft Endpoint Protection و Windows Intune Endpoint Protection – در تمام نسخه‌های پشتیبانی‌شده ویندوز، یعنی از ویندوز 7 به بعد - وجود دارد.

وصله رفع مشکل MMPE v1.1.14405.2

مایکروسافت این مشکل را در ماشین حفاظت بدافزار نسخه 1.1.14405.2. برطرف کرده است.

خبر خوب این است که مایکروسافت، به‌طور خاص، یک مکانیزم خودبه‌روزرسان برای این مؤلفه طراحی کرده است. این مسأله به این معنی است که اکثر کاربران، این به‌روزرسانی را دریافت کردند، مگر کاربرانی که با تغییر کلیدهای رجیستری یا به‌واسطه سیاست‌های گروهی، به‌روزرسانی‌های MMPE را مسدود کرده‌اند.

در این مورد، کاربران باید به‌روزرسانی مهم MMPE را در نظر بگیرند و مجوز به‌روزرسانی را به مؤلفه بدهند.

این تنها اصلاح سطح بحرانی نیست که مؤلفه MMPE در سال جاری دریافت کرده است. سه مورد خطای مشابه دیگر نیز گزارش شده، که به مهاجمان این امکان را می‌دهد، تا کد راه دور را بر روی ایستگاه‌های کاری ویندوز که دارای مؤلفه MMPE قدیمی می‌باشند، اجرا کند.

آدرس اینترنتی خبرhttps://www.bleepingcomputer.com/news/security/microsoft-fixes-malware-protection-engine-bug-discovered-by-british-intelligence
تاریخ درج خبر1396-09-26
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست