Page 1 sur 1

KB4022344 : Vulnérabilité à distance de Windows visant Windows Defender et MSE

Publié : 09 mai 2017 12:58
par Malekal_morte
Une vulnérabilité à distance de Windows a été publiée récemment sur Windows : KB4022344 et CVE-2017-0290.
Cette vulnérabilité a été découverte par Google Project Zero security et les experts Natalie Silvanovich and Tavis Ormandy.
KB4022344 : Vulnérabilité à distance de Windows
KB4022344 : Vulnérabilité à distance de Windows
logo-windows-update-correction-vulnérabilité.jpg (6.25 Kio) Consulté 1724 fois
=> ... 252&desc=5

Cette vulnérabilité touche le processus MsMpEng.exe lié notamment à Windows Defender, Microsoft Endpoint Protection, Microsoft Security Essentials.
Toutes les version de Windows sont concernées : Windows 7, Windows 8.1 et Windows 10.

Les versions vulnérables :
Dernière version de Microsoft Malware Protection Engine touchée par cette vulnérabilité : Version 1.1.13701.0
Dernière version de Microsoft Malware Protection Engine touchée par cette vulnérabilité : Version 1.1.13704.0
KB4022344 : Vulnérabilité à distance de Windows
KB4022344 : Vulnérabilité à distance de Windows
MsMpEng is the Malware Protection service that is enabled by default on Windows 8, 8.1, 10, Windows Server 2012, and so on. Additionally, Microsoft Security Essentials, System Centre Endpoint Protection and various other Microsoft security products share the same core engine. MsMpEng runs as NT AUTHORITY\SYSTEM without sandboxing, and is remotely accessible without authentication via various Windows services, including Exchange, IIS, and so on.

On workstations, attackers can access mpengine by sending emails to users (reading the email or opening attachments is not necessary), visiting links in a web browser, instant messaging and so on. This level of accessibility is possible because MsMpEng uses a filesystem minifilter to intercept and inspect all system filesystem activity, so writing controlled contents to anywhere on disk (e.g. caches, temporary internet files, downloads (even unconfirmed downloads), attachments, etc) is enough to access functionality in mpengine. MIME types and file extensions are not relevant to this vulnerability, as MsMpEng uses it's own content identification system.

Vulnerabilities in MsMpEng are among the most severe possible in Windows, due to the privilege, accessibility, and ubiquity of the service.

The core component of MsMpEng responsible for scanning and analysis is called mpengine. Mpengine is a vast and complex attack surface, comprising of handlers for dozens of esoteric archive formats, executable packers and cryptors, full system emulators and interpreters for various architectures and languages, and so on. All of this code is accessible to remote attackers.

NScript is the component of mpengine that evaluates any filesystem or network activity that looks like JavaScript. To be clear, this is an unsandboxed and highly privileged JavaScript interpreter that is used to evaluate untrusted code, by default on all modern Windows systems. This is as surprising as it sounds.
Comment cette vulnérabilité peut permettre d'installer des logiciels malveillants ?

Elle n'est pas exploitable à distance par le réseau, l'attaquant doit faire exécuter un fichier spécialement créé, qui va exploiter la vulnérabilité afin de pouvoir lancer un programme malveillants avec des privilèges élevées.
Il faut donc plutôt s'attendre à des campagnes d'emails malveillants massifs, poussant divers trojan et ransomwares.

Une mise à jour correctrice est disponible.
Plus d'informations pour installer la mise à jour : ... nformation.
Les informations contenues dans cet article s'appliquent aux produits suivants :
Microsoft Forefront Client Security
Microsoft Forefront Endpoint Protection 2010
Microsoft Forefront Security pour SharePoint Service Pack 3
Microsoft System Center 2012 Endpoint Protection
Microsoft System Center 2012 Endpoint Protection Service Pack 1
Outil de suppression de logiciels malveillants Microsoft
Microsoft Security Essentials
Version préliminaire de Microsoft Security Essentials
Windows Defender pour Windows 8
Windows Defender pour Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2
Windows Defender Offline
Microsoft Intune Endpoint Protection