Microsoft izdaje hitnu zakrpu za 'ludo lošu' grešku nultog dana Windowsa

Microsoft je izdao zakrpu brzo razvijenu za borbu protiv ozbiljne ranjivosti nultog dana otkrivene prije samo nekoliko dana.

Kasno u ponedjeljak, div iz Redmonda izdao sigurnosno upozorenje za CVE-2017-0290, greška u daljinskom izvršavanju koda koja utječe na operativni sustav Windows.

Sigurnosnu ranjivost otkrili su tijekom vikenda sigurnosni stručnjaci Google Project Zero Natalie Silvanovich i Tavis Ormandy.

Na Twitteru, istaknuti lovac na ranjivosti Ormandy otkrio je postojanje greške nultog dana u Microsoftovom sustavu za zaštitu od zlonamjernog softvera (MsMpEng), koji koristi Windows Defender i drugi sigurnosni proizvodi.

Istraživač je pronalazak smatrao "ludo lošom" greškom koja bi mogla biti "najgora Windows udaljena izvedba koda [greška u izvršavanju] u posljednje vrijeme."

Ormandy u to vrijeme nije otkrio ništa drugo kako bi Microsoftu dao vremena da popravi ranjivost oštećenja memorije skriptnog mehanizma nakon što je privatno prijavljena.

Ugrađeni sustav za implementaciju i skener u Microsoftovim proizvodima automatski će izdati zakrpu dobavljačima tijekom sljedećih 48 sati, pa je više detalja otkriveno.

Ranjivost omogućuje napadačima daljinsko izvršavanje koda ako Microsoftov mehanizam za zaštitu od zlonamjernog softvera skenira posebno izrađenu datoteku. Kada se uspješno iskoriste, napadači se mogu uvući u račun LocalSystem i oteti cijeli sustav.

S takvom moći imaju potpunu kontrolu nad instaliranjem ili brisanjem programa, krađom podataka, stvaranjem novih računa s punim korisničkim pravima i preuzimanjem dodatnog zlonamjernog softvera.

The Project Zero tim kaže ranjivost se može iskoristiti protiv žrtava samo slanjem e-pošte korisnicima -- bez potrebe za otvaranjem poruke ili preuzimanjem bilo kakvih privitaka. Napad koji iskorištava eksploataciju također se može izvesti putem zlonamjernih posjeta web stranicama ili razmjene izravnih poruka.

Prema Ormandyju, ranjivost ne samo da se može iskoristiti za rad protiv zadanih sustava, već i jest također "crvljiv". Drugim riječima, zlonamjerni softver koji koristi iskorištavanje može se replicirati i proširiti izvan cilja sustav.

"Ranjivosti u MsMpEng-u su među najtežim mogućim u Windowsima, zbog privilegije, pristupačnosti i sveprisutnosti usluge", kaže tim.

"Ako zahvaćeni antimalware softver ima uključenu zaštitu u stvarnom vremenu, Microsoftov mehanizam za zaštitu od malwarea će automatski skenira datoteke, što dovodi do iskorištavanja ranjivosti kada se skenira posebno izrađena datoteka," Microsoft rekao je. "Ako skeniranje u stvarnom vremenu nije omogućeno, napadač bi trebao pričekati dok se ne dogodi zakazano skeniranje kako bi se ranjivost iskoristila."

Vidi također:Podvigi nultog dana: Vodič za pametne osobe (TechRepublic)

Microsoft Forefront Endpoint Protection 2010, Microsoft Endpoint Protection, Microsoft Forefront Security za SharePoint servisni paket 3, Microsoft System Center Endpoint Protection, Microsoft Security Essentials, Windows Defender za Windows 7, Windows Defender za Windows 8.1 i RT 8.1, Windows Defender za Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703 i Windows Intune Endpoint Protection su svi pogođeni.

Međutim, Microsoft rekao je timu Project Zero da je Čuvar protoka kontrole (CFG) sigurnosna značajka smanjuje rizik od ugrožavanja na nekim od najnovijih platformi na kojima je značajka omogućena.

Ormandy je pohvalio Microsoft zbog brzine izdavanja hitne zakrpe, izreka da je "oduševljen koliko je brzo @msftsecurity reagirao kako bi zaštitio korisnike, ne mogu mu dati dovoljno pohvala."

Microsoft kaže da nema izvješća o iskorištavanju problema u prirodi. Administratori sustava ne moraju djelovati jer će Microsoftovi interni sustavi progurati ažuriranja motora na ranjive sustave, međutim, ažuriranje također može biti primijenjeno ručno za brži popravak.