Il ricercatore Tavis Ormandy di Google ha rilevato una vulnerabilità, segnalata a Microsoft, che permette l’accesso remoto al sistema grazie ad alcuni servizi che si interfacciano con il processo MsMpEng, questo anche tramite una semplice email creata ad hoc.
Microsoft ha rilasciato entro 48 ore un aggiornamento di sicurezza che aggiorna il motore alla versione 1.1.13704.0 e che copre Windows Defender da Windows 7 a Windows 10, passando per Microsoft Security Essentials oltre che alle versioni per Windows Server 2016, Forefront Endpoint Protection, System Center Endpoint Protection.
Il problema si presenta quindi anche grazie ad una semplice email contenente un file creato ad hoc, che permetterebbe addirittura di prendere il controllo del sistema, questo senza alcuna interazione dell’utente visto che la scansione viene eseguita in automatico dal sistema, come con qualsiasi altro software di protezione.
Il ricercatore ha inoltre rilevato un comportamento confuso da parte del componente NScript che ha il compito di rilevare comportamenti anomali nella scrittura del file system o nelle attività di rete che possano condurre a script malevoli o simili. Ha individuato quindi un metodo particolare per far in modo che il motore NON riesca a convalidare le proprietà di un processo facendolo come passare ad uno stato di runtime, cosa che potrebbe esser sfruttata da un attaccante per veicolare malware o similari.
Controllate quindi che siano installati TUTTI gli aggiornamenti da start > impostazioni > Aggiornamento e Sicurezza > Windows Update
Via: Threatpost | The first stop for security news