Alfonso Maruccia

Windows Defender tra bug e update

Microsoft rilascia un aggiornamento pensato per risolvere un gravissimo bug di sicurezza nel suo engine anti-malware, mentre al suddetto engine verranno aggiunte nuove funzionalità con il prossimo update di Windows 10

Roma - Microsoft ha recentemente patchato una vulnerabilità di sicurezza nel suo Malware Protection Engine (MsMpEng), motore anti-malware alla base di Windows Defender e di altri prodotti di sicurezza integrati in tutte le versioni di Windows 10. Un bug pericoloso, incredibilmente facile da sfruttare, che ha richiesto precauzioni speciali anche per l'invio del codice dimostrativo da parte di chi l'ha scoperto per evitare di mandare in crash i server di posta di Redmond.

Come già successo molte volte nel recente passato, a scovare il baco è stato un ricercatore in forza al Project Zero di Google: Tavis Ormandy ha usato un fuzzer, vale a dire una tecnica pensata per identificare le vulnerabilità di sicurezza inondando un programma con dati casuali per verificarne il comportamento, e ha scoperto il problema nell'emulatore x86 dell'engine MsMpEng.

Il suddetto emulatore serve ad eseguire file non sicuri e potenzialmente malevoli, e per sfruttare il bug basta inviare un file appositamente malformato (tramite email, visita di un sito Web o in altro modo) ad un sistema Windows 10 così da forzare Windows Defender all'azione: il risultato finale è l'esecuzione di codice arbitrario con i privilegi di LocalSystem, un account che secondo Microsoft è in grado di fare praticamente tutto sul sistema, incluso installare programmi, visualizzare, modificare o cancellare dati, creare nuovi account con pieni privilegi di accesso.
Il codice dimostrativo messo assieme da Ormandy è stato infine inviato a Microsoft per lo sviluppo della patch, anche se il ricercatore ha dovuto cifrare il file incriminato per evitare di mandare in crash il mail server della corporation. Il bug, che è stato ora corretto, avrebbe avuto un valore di milioni di dollari sul mercato nero delle vulnerabilità di sicurezza e relativi exploit a beneficio dei cyber-criminali.

Microsoft continua a sperimentare problemi con i suoi software di sicurezza presenti in Windows 10 fuori e dentro le aule dei tribunali, ma non per questo la corporation sembra intenzionata a retrocedere dalla sua nuova politica di stretta integrazione tra MsMpEng e l'OS-come-servizio. Nella versione Enterprise del prossimo update a Windows 10 (Redstone 3), Redmond intende implementare nuove funzionalità pensate per rafforzare la sicurezza di Defender e compagnia, inclusa la re-ingegnerizzazione di Enhanced Mitigation Experience Toolkit (EMET) come componente nativo del sistema.

Alfonso Maruccia
Notizie collegate
  • SicurezzaWindows, EMET e non più EMETMicrosoft ha di recente annunciato la data di scadenza del suo tool per la sicurezza avanzata ma gli esperti frenano: un Windows senza EMET è un Windows più insicuro. Windows 10 non fa eccezione, nonostante la telemetria
  • SicurezzaWindows Defender, eseguito il porting su LinuxEresia o pragmatismo? Loadlibrary, lo strumento usato in questa strana impresa, è stato sviluppato da uno dei più famosi ingegneri del Project Zero di Google. Lo scopo è consentire l'esecuzione di Windows DLL in ambiente GNU/Linux per aiutare gli analisti nel debug
  • AttualitàKaspersky aizza l'antitrust europeo contro Windows 10La corporation russa passa dalle parole ai fatti chiamando in causa le autorità comunitarie per quello che, a dire del fondatore, è il trattamento iniquo dei software di sicurezza di terze parti messo in atto dall'OS di Redmond
13 Commenti alla Notizia Windows Defender tra bug e update
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)