Złośliwy plik RAR pokonał Windows Defendera

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19075
Reakcje/Polubienia
55501
Windows Defender chroni przed wirusami na równi z najlepszymi produktami firm trzecich – chwalił się niedawno Microsoft. Kto jednak uchroni przed atakami złośliwego oprogramowania samego Windows Defendera? Po raz kolejny okazało się, że silnik antywirusowy wykorzystywany obecnie we wszystkich ochronnych narzędziach Microsoftu pozwala na zdalne uruchomienie złośliwego kodu, i to z ogromnymi uprawnieniami LocalSystem. Wystarczy podesłać odpowiednio spreparowany plik RAR.

Firma z Redmond ma sporo szczęścia, ze zagrożenie to odkrył słynny haker Halvar Flake (Thomas Dullien), pracujący dla Google, a nie dla np. chińskiej mafii. Co robi antywirus, gdy napotka plik archiwum? Oczywiście próbuje go rozpakować, wykorzystując wbudowane w swój silnik mechanizmy obsługi poszczególnych formatów. Wewnątrz mpengine.dll (biblioteki używanej Microsoft Malware Protection Engine) znajdziemy m.in. taki mechanizm dla ogromnie popularnego formatu RAR.

Jeśli silnik antywirusowy Microsoftu jest w wersji wcześniejszej niż 1.1.14700.5, to wówczas podstawiając mu uzłośliwiony plik RAR do przeskanowania możemy doprowadzić do uszkodzenia pamięci i uruchomienia własnego kodu z uprawnieniami LocalSystem samego antywirusa– jeszcze wyższymi niż uprawnienia administratora.

Kto jest winien tej podatności? Tu historia robi się naprawdę ciekawa. Firma z Redmond po prostu wzięła kod źródłowy ze starszej wersji (4.2.4) dearchiwizera unrar, rozprowadzanego na niewolnej ale zarazem freeware’owej licencji rosyjskiego producenta. Kod ten został sforkowany, a następnie zmodyfikowany i dopasowany do silnika antywirusowego.

Przy okazji jednak popełnio dziwny błąd: wszystkie stałoprzecinkowe zmienne z bitem znaku (signed) zostały przekształcone w zmienne stałoprzecinkowe bez bitu znaku (unsigned). Jako pokazał Halvar Flake, przy arytmetycznych porównaniach rozmiarów danych pozwala to na przekroczenie zalokowanego bufora i w konsekwencji uszkodzenie pamięci przez mpengine.dll.

Udostępniona poza normalnym cyklem wydawniczym łatka na podatność CVE-2018-0986 usuwa to zagrożenie. Na plus Microsoftowi należy zaliczyć to, że łatka została przygotowana w rekordowym czasie. Sęk w tym, że nie jest to pierwsza tego typu wpadka. Poprzednie oglądaliśmy w maju i czerwcu zeszłego roku – i z czasem pojawiło się korzystające z nich malware. Dlatego mamy nadzieję, że już pobraliście poprawkę z Windows Update: wersję jak to Microsoft nazywa, „aparatu”, można sprawdzić w Windows Defender Security Center – powinna być równa co najmniej 1.1.14700.5.

źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry