Theo Neowin, lỗ hổng mà Ormandy phát hiện có trong Windows Defender. Đáng chú ý, điều này xảy ra chỉ 3 ngày sau khi ông Ormandy tiết lộ một lỗ hổng bảo mật nguy hiểm khác có trong Windows.
Ormandy cho biết, lỗ hổng bảo mật mới khai thác lỗi có trong Malware Protection Engine (MPE) mà Microsoft sử dụng trong phần mềm phòng chống mã độc của mình.
Giải thích về cách khai thác lỗ hổng, Ormandy cho biết: “MPE bao gồm một bộ giả lập hệ thống x86 đầy đủ, được sử dụng để chạy bất kỳ tập tin không đáng tin. Bộ mô phỏng chạy dưới dạng NT AUTHORITY\SYSTEM và không sử dụng sandbox. Sau khi duyệt qua danh sách các API Win32 mà chương trình mô phỏng hỗ trợ, tôi nhận thấy lệnh ntdll! NtControlChannel cung cấp mã mô phỏng để kiểm soát trình mô phỏng”.
Nhìn chung, lỗ hổng này cho phép kẻ tấn công có thể xâm nhập vào dữ liệu riêng tư của người dùng, nơi chúng có thể truy vấn các tập tin cục bộ qua kết quả quét của Defender. Ở mức tồi tệ hơn, nó có thể chạy các mã từ xa một cách bất chính trên hệ thống của nạn nhân.
Udi Yavo - một nhà nghiên cứu bảo mật khác đã phân loại lỗ hổng mà Ormandy vừa khám phá ra là lỗ hổng rất nguy hiểm nhưng không dễ dàng bị tấn công sau khi Microsoft tung bản vá lỗ hổng.
Được biết, Ormandy đã không tiết lộ công khai lỗ hổng này, thay vào đó ông đã liên hệ trực tiếp với Microsoft khoảng một tuần trước khi công ty này tung ra bản vá khắc phục vấn đề.
Bình luận (0)