Bug kan få Microsoft-scanner til at eksekvere malware med admin-rettigheder

En fejl i flere af Microsofts sikkerhedsprodukter til Windows betyder, at ondsindet kode kan blive eksekveret på systemet.

Sikkerhedsfolk har opdaget, hvad der må siges at være lidt af en graverende fejl i anti-malwaresoftwaren Microsoft Malware Protection Engine. En patch er ved at blive rullet ud.

Microsoft Malware Protection Engine kører i en stribe sikkerhedsprodukter fra Microsoft. Fejlen betyder, at sikkerhedssoftwaren under scanning af filer kan narres til at eksekvere ondsindet kode i filerne, såfremt filerne er udformet på en særlig måde. Den ondsindede kode bliver kørt med admin-rettigheder.

Det fortæller The Register.

Fejlen berører en stribe sikkerhedsprodukter fra Microsoft. Nærmere bestemt: Windows Defender, Windows Intune Endpoint Protection, Microsoft Security Essentials, Microsoft System Center Endpoint Protection, Microsoft Forefront Security for SharePoint, Microsoft Endpoint Protection og Microsoft Forefront Endpoint Protection.

Ifølge The Register kører de sårbare sikkerhedsprodukter som standard i Windows 8, 8.1, 10 Windows Server 2012.

Fejlen fik mandag aften Microsoft til at udsende en nød-opdatering til Windows. Opdateringen skulle blive automatisk downloadet og installeret i disse dage.

»Opdateringen adresserer en sårbarhed, der kan muliggøre fjerneksekvering af kode, hvis Microsoft Malware Protection Engine scanner en særligt udformet fil,« oplyser Microsoft i en meddelelse om sårbarheden.

I meddelelsen står der endvidere, at det normalt ikke kræver nogen handling fra enterprise-administratorer eller slutbrugere for at installere opdateringer til Microsoft Malware Protection Engine, da den indbyggede mekanisme til automatisk detektering og udrulning af opdateringer vil installere opdateringen i løbet af 48 timer, fra den er frigivet.

Det præcise tidspunkt for, hvornår software bliver opdateret, afhænger af, hvilket softwareprodukt der er tale om, internetforbindelsen og konfigurationen af netværksinfrastrukturen, fremgår det af meddelelsen fra Microsoft.

Blev opdaget af Project Zero

Sårbarheden blev opdaget og rapporteret til Microsoft af Natalie Silvanovich og Tavis Ormandy fra Googles Project Zero.

I et tweet fra i fredags beskriver Tavis Ormandy bug'en som »'he worst Windows remote code exec in recent memory'.

Han fortsætter med ordene: »This is crazy bad.«


Tavis Ormandy har flere gange tidligere gjort sig bemærket for sine opdagelser af sikkerhedshuller i diverse produkter. Blandt andet i forhold til kodeordshuskeren LastPass, hvor han havde fundet frem til, at det var muligt at eksekvere kode på klienter med LastPass-browserudvidelsen installeret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere