W10-MMPE

Lỗ hổng trong Windows Defender: CVE-2018-0986

April 9, 2018 | vietsunshine

Trong những năm qua, Microsoft đã phát triển một bộ công cụ bảo mật anti-virus và anti-malware cho môi trường windows. Tuy nhiên, gần đây một lỗ hổng nghiêm trọng đã được phát hiện, nó ảnh hưởng đến Microsoft Malware Protection Engine (mpengine.dll), core của Windows Defender trong tất cả các phiên bản hỗ trợ của Windows Defender của Windows và Windows Server.

Theo Microsoft, “một lỗ hổng thực thi mã từ xa đã tồn tại khi Microsoft Malware Protection Engine không quét đúng cách tệp tin được tạo ra đặc biệt, dẫn đến hỏng hóc bộ nhớ. Khi kẻ tấn công khai thác thành công lỗ hổng này, họ có thể thực hiện mã tùy ý trong tài khoản LocalSystem và kiểm soát hệ thống. Hacker có thể cài đặt chương trình, thay đổi hoặc xóa dữ liệu, tạo ra các tài khoản mới với full quyền.”

Đánh giá tác động của lỗ hổng CVE-2018-0986

Theo mặc định, trên tất cả các hệ thống Windows 10, tính năng bảo vệ thời gian thực của Windows Defender được bật. Điều này có nghĩa là Microsoft Malware Protection Engine (MMPE) sẽ tự động quét các tệp, dẫn đến việc khai thác lỗ hổng khi quét tệp được làm đặc biệt. Bởi vì thành phần MMPE tự động quét tất cả các tệp tin đến theo mặc định, không cần tương tác với người dùng để khai thác lỗ hổng. Tuy nhiên, nếu chức năng quét thời gian thực không được kích hoạt, kẻ tấn công sẽ phải đợi cho đến đợt quét định kỳ để khai thác lỗ hổng. Lỗ hổng này ảnh hưởng đến tất cả các sản phẩm của Windows có hỗ trợ Windows Defender. Hacker có thể cài đặt chương trình, thay đổi hoặc xóa dữ liệu, tạo ra các tài khoản mới với full quyền.

Khai thác lỗ hổng CVE-2018-0986

Microsoft cho biết, để khai thác lỗ hổng này, một tệp tin được tạo ra một cách đặc biệt phải được quét bởi một phiên bản bị ảnh hưởng của MMPE. Kẻ tấn công có thể khai thác lỗ hổng bằng cách đặt tệp tin ở vị trí được quét bởi MMPE:

  • Một trong những cách phổ biến nhất để khai thác lỗ hổng này là thông qua email hoặc tin nhắn tức thời được quét khi tệp được mở.
  • Kẻ tấn công có thể lợi dụng các trang web lưu trữ nội dung do người dùng cung cấp bằng cách tải tệp lên vị trí được chia sẻ mà MMPE sẽ quét.

Các hành động cần làm ngay

Thông thường quản trị viên hoặc người dùng không cần phải cập nhật, hệ thông sẽ tự động cài đặt trong vòng 48h sau quá trình cập nhật của Microsoft. Tuy nhiên vì đây là lỗ hổng nghiêm trọng, nên Tenable khuyên bạn nên cài đặt bản cập nhật càng sớm càng tốt.

Nếu hệ thống không được kiểm soát bởi hệ thống cập nhật doanh nghiệp, người dùng có thể cập nhật bằng tay bằng cách mở Windows Defender một cách thủ công, nhấp vào tab cập nhật và thực hiện cập nhật để kích hoạt việc tải xuống / cài đặt MMPE mới. Để xác minh hệ thống của bạn đã được cập nhật, hãy so sánh các phiên bản với hình ảnh bên dưới.

(Theo Tenable)

 

Tags: , , , ,