Microsoft kom i går med en sikkerhetsoppdatering til selskapets Malware Protection Engine (MsMpEng), en tjeneste som kjøres på de fleste nyere Windows-utgaver og som benyttes som motor av flere av selskapets egne sikkerhetsprodukter, inkludert Defender, Forefront og Security Essentials.
Allerede i helgen ble det kjent at to medlemmer av Googles Project Zero, Natalie Silvanovich og Tavis Ormandy, hadde oppdaget en Windows-sårbarhet litt utenom det vanlige.
I think @natashenka and I just discovered the worst Windows remote code exec in recent memory. This is crazy bad. Report on the way. ???
— Tavis Ormandy (@taviso) 6. mai 2017
Men det var først mandag kveld at detaljene ble kjent. Dette kom litt overraskende på, siden mange trodde at dette var en sårbarhet som først ville bli fjernet i kveld, siden det er Microsoft faste «patche-tirsdag» i dag.
Les også: Google offentliggjorde Windows-sårbarhet under angrep. Microsoft lite fornøyd
Svært omfattende privilegier
Den sårbare tjenesten, MsMpEng (mpengine.dll), kjøres ifølge Ormandy med høye privilegier, uten noen form for sikkerhetssandkasse. Samtidig er den tilgjengelig, uten noen form for autentisering, via en mengde programvare og tjenester som ofte er eksponert mot internett, slik som Exchange, IIS, og så videre, på servere.
På pc-er er tjenesten aktiv – med mindre den med hensikt er deaktivert – hver gang det skjer filsystemaktivitet på enheten, men også hver gang brukeren åpner en webside, mottar en lynmelding eller mottar en epost. Det er ikke nødvendig å åpne eposten eller vedlegget for at det skal skannes av MsMpEng.
– Sårbarheter i MsMpEng er blant de mest alvorlige som går an i Windows, på grunn av privilegiene, tilgjengeligheten og allestedsnærværelsen til tjenesten, skriver Ormandy.
NScript
Dypt nede i MsMpEng finnes det en JavaScript-tolker, NScript. Ifølge Ormandy brukes denne til å evaluere ikke-tiltrodd kode, samtidig som at programmet har store privilegier og kjøres som standard i alle moderne Windows-systemer.
– Dette er så overraskende som det høres, bemerker Ormandy.
Det var i NScript at den alvorlige sårbarheten ble funnet. Den skyldtes manglende validering av datatypen til en viss egenskap, «message». En metode i motoren antar at «message» er en tekststreng, men den kan være av enhver type.
Ved å utnytte dette kan en angriper kjøre vilkårlig kode på systemet i konteksten til LocalSystem-kontoen og ta kontroll over systemet.
CVE-2017-0290 is tweetable :)
var e = new Error();https://t.co/0RDygaVW6B({message : 7 });https://t.co/xkH9SQpNJE
— Natalie Silvanovich (@natashenka) 9. mai 2017
Ormandy og flere andre i Project Zero har i løpet av de siste årene funnet en rekke svært alvorlige sårbarheter i sikkerhetsprodukter.
Les også: Derfor er sårbarheter i antivirus ekstra ille
Lynrask respons
Microsoft skal ha blitt varslet om sårbarheten på lørdag, og som nevnt ble sikkerhetsfiksen rullet ut allerede i går, noe Ormandy har uttrykt stor glede over.
Still blown away at how quickly @msftsecurity responded to protect users, can't give enough kudos. Amazing.
— Tavis Ormandy (@taviso) 9. mai 2017
I motsetning til de øvrige delene av Windows, blir blant annet skadevaredefinisjonene og Microsoft Malware Protection Engine oppdatert stadig vekk, kanskje flere ganger om dagen, normalt uten at omstart av Windows er nødvendig.
Dette skjer vanligvis mer eller mindre automatisk, men man kan kontrollere at det faktisk har skjedd ved å følge instruksjonene på denne siden. Sårbarheten er fjernet dersom versjonsnummeret til Microsoft Malware Protection Engine er 1.1.10704.0 eller høyere.
Flere ganger tidligere har Google Project Zero avslørt sårbarheter i Microsoft-programvare før det har kommet noen sikkerhetsfiks. Teamet følger knallhardt en policy hvor detaljene om sårbarheten maksimalt holdes tilbake i 90 dager etter at leverandøren har fått vite om den. I de nevnte tilfellene har ikke Microsoft greid å levere en sikkerhetsfiks innen tidsfristen utløp, men denne gangen ble sikkerhetsfiksen klar på rekordtid.
Les mer: Offentliggjorde Windows-sårbarhet som Microsoft trolig har utsatt å fjerne
