Исследователь из Google Project Zero Тавис Орманди продолжает обнаруживать уязвимости в операционных системах Windows. Через три дня после нахождения «вопиющей уязвимости» он нашёл проблемы в Защитнике Windows.
Как и в прошлый раз, эксплоит связан с Malware Protection Engine. Объяснение гласит, что MsMpEng включает в себя эмулятор x86 для запуска сомнительных файлов, похожих на исполняемые файлы PE. Запускается этот эмулятор не в песочнице; среди интерфейсов программирования он поддерживает ntdll!NtControlChannel, через который эмулируемый код может получить контроль над самим эмулятором.
Это означает, что хакеры могут получить доступ к файлам пользователей через результаты сканирования Защитника Windows и в худшем случае дистанционно исполнять код. На этот раз Орманди не стал объявлять о своём открытии в Твиттере, а сначала уведомил Microsoft, которая на прошлой неделе выпустила патч.
Другой исследователь назвал эту уязвимость потенциально чрезвычайно опасной, но сложной для применения. Специалисты критикуют Microsoft за решение не использовать песочницу с Malware Protection Engine и за наличие позволяющих выполнять вызовы API инструкций в эмуляторе.
Случившаяся в середине мая атака приложения-вымогателя WannaCry была одной из крупнейших в современной истории, в результате чего пострадали более 300 тысяч компьютеров. Всё это стало возможным благодаря уязвимости в операционных системах Microsoft Windows, поэтому можно предположить, что многие пользователи сейчас не испытывают к компании тёплых чувств. Недавнее исследование показало, что это не так.
Компания Morning Consult опросила 2148 человек, из которых более половины высказали обеспокоенность относительно использования платформы Windows. Однако эта обеспокоенность не отталкивает их от покупок программных продуктов Microsoft в будущем. Всего 25% опрошенных высказали нежелание покупать их. 39% опрошенных испытывают противоречивые чувства, 19% после атак обрели ещё большую уверенность в программах Microsoft.
83% пользователей продолжают относиться к Microsoft благосклонно через неделю после удара вымогателя, поэтому популярность бренда почти не пострадала. Помимо потребителей, высока уверенность в Microsoft среди инвесторов, стоимость акций выросла до $70 впервые в 42-летней истории компании.
Большинство пользователей винят в успехе приложения-вымогателя собственные компьютерные привычки, в том числе использование устаревших версий Windows и нерегулярное обновление установленных систем. Также следует с осторожностью относиться к ссылкам и файлам из неизвестных источников.
Сама Microsoft возложила вину на разведслужбы, которые разрабатывают цифровые инструменты для взлома операционных систем. В частности, WannaCry стал результатом утечки файлов из АНБ. Microsoft закрыла эту уязвимость за два месяца до появления WannaCry, а после оперативно выпустила патч для неподдерживаемых Windows XP и Windows 8.