Một lỗ hổng trong phần lõi được sử dụng trong nhiều sản phẩm chống malware của Microsoft có thể dẫn đến khả năng tấn công từ chối dịch vụ
Lỗ hổng cho phép kẻ tấn công vô hiệu hóa các sản phẩm chống malware của Microsoft bằng cách gửi các tập tin đặc biệt cho người dùng thông qua các trang web, thư điện tử hoặc các ứng dụng tin nhắn tức thời.
Lỗ hổng nằm trong Microsoft Malware Protection Engine, là cốt lõi của nhiều sản phẩm bảo mật của Microsoft cho máy tính để bàn và máy chủ như Microsoft Forefront Client Security, Microsoft System Center 2012 Endpoint Protection, Microsoft Malicious Software Removal Tool, Microsoft Security Essentials, Windows Intune Endpoint Protection và Windows Defender, trong đó có cài đặt sẵn trong Windows Vista và các phiên bản sau đó.
Microsoft đã sửa lỗ hổng trong Microsoft Malware Protection Engine 1.1.10701.0 phát hành hôm thứ Ba tuần trước. Đối với người dùng cá nhân, phiên bản mới nên tải về và cài đặt tự động trong vòng 48 giờ, nhưng các quản trị viên trong môi trường doanh nghiệp nên chắc chắn rằng phần mềm quản lý cập nhật của họ được cấu hình để chấp nhận các bản cập nhật cho hạt nhân phần mềm.
Nếu lỗ hổng chưa được vá, lỗ hổng có thể bị khai thác buộc Microsoft Malware Protection Engine dừng hoạt động trong một thời gian, về cơ bản dẫn đến một lỗ hổng tấn công từ chối dịch vụ. Khi điều này xảy ra, các sản phẩm chống malware sẽ dừng việc kiểm tra hệ thống các mối đe dọa cho đến khi các tập tin giả mạo được loại bỏ và các dịch vụ bảo vệ phần mềm độc hại được khởi động lại.
"Có rất nhiều cách mà một kẻ tấn công có thể đặt một tập tin thiết kế đặc biệt ở địa điểm được quét bằng Microsoft Malware Protection Engine," Microsoft cho biết trong một tư vấn bảo mật được công bố hôm thứ Ba tuần trước. "Ví dụ, một kẻ tấn công có thể sử dụng một trang web để cung cấp một tập tin thiết kế đặc biệt với hệ thống của nạn nhân được quét khi người sử dụng xem trang web. Một kẻ tấn công cũng có thể cung cấp một tập tin thiết kế đặc biệt thông qua một thông báo thư điện tử hoặc trong một tin nhắn đối thoại tức thời, được quét khi tập tin được mở ra. "
Ngoài ra, nếu Malware Protection Engine chạy trên một máy chủ Windows lưu trữ một trang web mà chấp nhận nội dung người dùng cung cấp, kẻ tấn công có thể khai thác lỗ hổng bằng cách tải lên một tập tin thiết kế đặc biệt thông qua các trang web.
Microsoft ghi nhận báo cáo của Tavis Ormandy, một kỹ sư an ninh thông tin tại Google, với phát hiện và báo cáo các lỗ hổng cho công ty.
Ormandy đã tìm thấy lỗ hổng trong phần mềm chống malware trong quá khứ. Vào năm 2012, ông đã tìm thấy lỗ hổng nghiêm trọng trong Sophos Antivirus.
Chi tiết cụ thể về cách thức tạo ra các tập tin giả mạo ngăn chặn Microsoft Malware Protection Engine hoạt động không đúng không được công bố, nhưng Ormandy nói bóng gió trên Twitter rằng vấn đề liên quan đến JavaScript.
"Đây là một lỗi thú vị trong trình biên dịch JavaScript trong Windows Defender", ông nói.
Theo CSO
Thêm bình luận