Microsoft baru-baru ini menerbitkan Security Advisory 4022344, mengumumkan kerentanan keamanan yang parah di Malware Protection Engine.

Mesin Perlindungan Malware Microsoft

Alat ini digunakan oleh berbagai produk Microsoft seperti Windows Defender dan Microsoft Security Essentials pada PC konsumen. Itu juga digunakan oleh Microsoft Endpoint Protection, Microsoft Forefront, Microsoft Endpoint Protection Center, atau Windows Endune Endpoint Protection di sisi bisnis.

Kerentanan yang memengaruhi semua produk ini dapat memungkinkan eksekusi kode jarak jauh jika program yang menjalankan Microsoft Malware Protection Engine memindai file yang dibuat.

Kerentanan Windows Defender diperbaiki

Tavis Ormandy dan Natalie Silvanovich dari Google Project Zero menemukan "eksekutif kode jarak jauh Windows terburuk dalam memori baru-baru ini" pada 6 Mei 2017. Para peneliti mengatakan kepada Microsoft tentang kerentanan ini dan informasi itu disembunyikan dari publik untuk memberikan perusahaan 90 hari untuk memperbaikinya.

Microsoft dengan cepat membuat tambalan dan mendorong keluar versi baru Windows Defender dan lebih banyak lagi kepada pengguna.

Pelanggan Windows yang memiliki produk yang terkena dampak yang berjalan di perangkat mereka harus memastikan bahwa mereka diperbarui.

Perbarui program pada Windows 10

• Ketuk tombol Windows, ketik Windows Defender, dan tekan Enter untuk memuat program.
• Jika Anda menjalankan Pembaruan Windows 10 Creators, Anda akan mendapatkan Pusat Keamanan Windows Defender baru.
• Klik ikon roda gigi.
• Pilih Tentang di halaman berikutnya.
• Periksa Versi Mesin untuk memastikan setidaknya 1.1.13704.0.

Pembaruan Windows Defender tersedia melalui Pembaruan Windows. Informasi lebih lanjut tentang memperbarui produk anti-malware Microsoft secara manual tersedia di pusat Perlindungan Malware di situs web Microsoft.

Laporan kerentanan Google di situs web Project Zero

Ini dia:

Kerentanan dalam MsMpEng adalah yang paling parah di Windows, karena keistimewaan, aksesibilitas, dan di mana-mana layanan.

Komponen inti MsMpEng yang bertanggung jawab untuk pemindaian dan analisis disebut mpengine. Mpengine adalah permukaan serangan yang luas dan kompleks, terdiri dari penangan untuk lusinan format arsip esoterik, pengeksekusi dan cryptor yang dapat dieksekusi, emulator sistem penuh dan interpreter untuk berbagai arsitektur dan bahasa, dan sebagainya. Semua kode ini dapat diakses oleh penyerang jarak jauh.

NScript adalah komponen mpengine yang mengevaluasi setiap filesystem atau aktivitas jaringan yang terlihat seperti JavaScript. Agar lebih jelas, ini adalah penerjemah JavaScript tanpa kotak dan sangat istimewa yang digunakan untuk mengevaluasi kode yang tidak dipercaya, secara default pada semua sistem Windows modern. Ini mengejutkan seperti kedengarannya.