SIKKERHET

Microsoft fjerner «verste Windows-sårbarhet i nyere tid»

«This is crazy bad.»

Ifølge Tavis Ormandy åpnet sårbarheten i Microsoft Malware Protection Engine for skadevare med dataorm-egenskaper, altså automatisk spredning uten behov for noen separat vert. Men nå er faren trolig allerede over for de aller fleste.
Ifølge Tavis Ormandy åpnet sårbarheten i Microsoft Malware Protection Engine for skadevare med dataorm-egenskaper, altså automatisk spredning uten behov for noen separat vert. Men nå er faren trolig allerede over for de aller fleste. Bilde: Colourbox/Evgeny Atamanenko
Harald BrombachHarald BrombachNyhetsleder
9. mai 2017 - 09:11 | Endret 9. mai 2017 - 13:40

Microsoft kom i går med en sikkerhetsoppdatering til selskapets Malware Protection Engine (MsMpEng), en tjeneste som kjøres på de fleste nyere Windows-utgaver og som benyttes som motor av flere av selskapets egne sikkerhetsprodukter, inkludert Defender, Forefront og Security Essentials.

Allerede i helgen ble det kjent at to medlemmer av Googles Project Zero, Natalie Silvanovich og Tavis Ormandy, hadde oppdaget en Windows-sårbarhet litt utenom det vanlige.

Men det var først mandag kveld at detaljene ble kjent. Dette kom litt overraskende på, siden mange trodde at dette var en sårbarhet som først ville bli fjernet i kveld, siden det er Microsoft faste «patche-tirsdag» i dag.

Les også: Google offentliggjorde Windows-sårbarhet under angrep. Microsoft lite fornøyd

Svært omfattende privilegier

Den sårbare tjenesten, MsMpEng (mpengine.dll), kjøres ifølge Ormandy med høye privilegier, uten noen form for sikkerhetssandkasse. Samtidig er den tilgjengelig, uten noen form for autentisering, via en mengde programvare og tjenester som ofte er eksponert mot internett, slik som Exchange, IIS, og så videre, på servere.

På pc-er er tjenesten aktiv – med mindre den med hensikt er deaktivert – hver gang det skjer filsystemaktivitet på enheten, men også hver gang brukeren åpner en webside, mottar en lynmelding eller mottar en epost. Det er ikke nødvendig å åpne eposten eller vedlegget for at det skal skannes av MsMpEng.

– Sårbarheter i MsMpEng er blant de mest alvorlige som går an i Windows, på grunn av privilegiene, tilgjengeligheten og allestedsnærværelsen til tjenesten, skriver Ormandy. 

NScript

Dypt nede i MsMpEng finnes det en JavaScript-tolker, NScript. Ifølge Ormandy brukes denne til å evaluere ikke-tiltrodd kode, samtidig som at programmet har store privilegier og kjøres som standard i alle moderne Windows-systemer.

– Dette er så overraskende som det høres, bemerker Ormandy. 

Det var i NScript at den alvorlige sårbarheten ble funnet. Den skyldtes manglende validering av datatypen til en viss egenskap, «message». En metode i motoren antar at «message» er en tekststreng, men den kan være av enhver type. 

Ved å utnytte dette kan en angriper kjøre vilkårlig kode på systemet i konteksten til LocalSystem-kontoen og ta kontroll over systemet.

Ormandy og flere andre i Project Zero har i løpet av de siste årene funnet en rekke svært alvorlige sårbarheter i sikkerhetsprodukter.

Les også: Derfor er sårbarheter i antivirus ekstra ille

Lynrask respons

Microsoft skal ha blitt varslet om sårbarheten på lørdag, og som nevnt ble sikkerhetsfiksen rullet ut allerede i går, noe Ormandy har uttrykt stor glede over.

I motsetning til de øvrige delene av Windows, blir blant annet skadevaredefinisjonene og Microsoft Malware Protection Engine oppdatert stadig vekk, kanskje flere ganger om dagen, normalt uten at omstart av Windows er nødvendig.

Dette skjer vanligvis mer eller mindre automatisk, men man kan kontrollere at det faktisk har skjedd ved å følge instruksjonene på denne siden. Sårbarheten er fjernet dersom versjonsnummeret til Microsoft Malware Protection Engine er 1.1.10704.0 eller høyere.

Flere ganger tidligere har Google Project Zero avslørt sårbarheter i Microsoft-programvare før det har kommet noen sikkerhetsfiks. Teamet følger knallhardt en policy hvor detaljene om sårbarheten maksimalt holdes tilbake i 90 dager etter at leverandøren har fått vite om den. I de nevnte tilfellene har ikke Microsoft greid å levere en sikkerhetsfiks innen tidsfristen utløp, men denne gangen ble sikkerhetsfiksen klar på rekordtid.

Les mer: Offentliggjorde Windows-sårbarhet som Microsoft trolig har utsatt å fjerne

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra