Исследователь из Google Project Zero Тавис Орманди продолжает обнаруживать уязвимости в операционных системах Windows. Через три дня после нахождения «вопиющей уязвимости» он нашёл проблемы в Защитнике Windows.
Как и в прошлый раз, эксплоит связан с Malware Protection Engine. Объяснение гласит, что MsMpEng включает в себя эмулятор x86 для запуска сомнительных файлов, похожих на исполняемые файлы PE. Запускается этот эмулятор не в песочнице; среди интерфейсов программирования он поддерживает ntdll!NtControlChannel, через который эмулируемый код может получить контроль над самим эмулятором.
Это означает, что хакеры могут получить доступ к файлам пользователей через результаты сканирования Защитника Windows и в худшем случае дистанционно исполнять код. На этот раз Орманди не стал объявлять о своём открытии в Твиттере, а сначала уведомил Microsoft, которая на прошлой неделе выпустила патч.
Другой исследователь назвал эту уязвимость потенциально чрезвычайно опасной, но сложной для применения. Специалисты критикуют Microsoft за решение не использовать песочницу с Malware Protection Engine и за наличие позволяющих выполнять вызовы API инструкций в эмуляторе.