A Microsoft soron kívüli javítást adott ki a Microsoft Malware Protection Engine-ben levő kritikus sebezhetőség miatt

 ( trey | 2017. december 8., péntek - 9:31 )

[ CVE-2017-11937 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability ]

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

"If the affected antimalware software has real-time protection turned on, the Microsoft Malware Protection Engine will scan files automatically, leading to exploitation of the vulnerability when the specially crafted file is scanned. If real-time scanning is not enabled, the attacker would need to wait until a scheduled scan occurs in order for the vulnerability to be exploited. All systems running an affected version of antimalware software are primarily at risk."

Nagyszerű! A Microsoft (és felszopói) állandóan arra verik magukat, hogy milyen kifinomult technikák vannak a rendszerben, hogy milyen csudabiztonságos. Miközben egy SYSTEM joggal futó antimalwar backdoor van a rendszerben. Az ilyen rendszer minősítését a leggyengébb alkotóelemet véve kellene kiadni. Ez az osztályzat sajnos: elégtelen.

--
trey @ gépház

Ne legyél már ilyen negatív! Soron kívül kijavították! :)

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

Ez megvan?

https://sg.hu/cikkek/it-tech/128534/adatokat-kemlelt-ki-egy-billentyuzet-alkalmazas

Az agyonszidott iOS és az agyonistenített Android egyaránt érintett.

--
robyboy

"Nagyszerű" összehasonlítás. A világ legelterjedtebb desktop + szerver OS-e vs. egy faszomtudja ki által nem használt mobilalkalmazás.

Jóker kérdés: a kettő közül nekem melyiket kell munkából kifolyólag támogatni?

--
trey @ gépház

Válts szakmát. Amióta nem támogatok ilyen szarokat, azóta szép az életem.

Az adatlopás csak 31 millió felhasználót érintett, végülis nem sok... a 7 milliárdhoz képest.

Csak azt akartam az egésszel üzenni, hogy tudjuk, hogy szar a Windows, és már most ki merem jelenteni, hogy van még benne vagy 1500 számunka -és akár a Microsoft számára is- ismeretlen biztonsági rés, ami bármikor napvilágot láthat, illetve lehet, hogy már hónapok/évek óta kihasználja Kína, az NSA, Oroszország, mittoménmégki.

Szóval nem kell meglepödni mindig azon, amikor ilyen dolgok derülnek ki.

Aki még mindig hisz a biztonságos informatikában, az khm... teljesen naív, hogy finoman fogalmazzak.

Most olvastam éppen, hogy drasztikusan egyre több pl. a HTTPS Phising oldalak aránya a világban, csak, hogy egy másik példát is hozzak.

--
robyboy

A probléma itt az, hogy a security emberek - köztük a fent idézett, elismert Tavis Ormandy - számtalanszor felhívta a figyelmet arra, hogy a MsMpEng ebben a formában többet árt, mint használ. Jó lenne tudni, hogy a Microsoft miért erőlteti. Ez nem ismeretlen, hanem mindenki által ismert probléma. Olyan, amit előszeretettel támadtak eddig is és fognak is a jövőben.

Idézet:
Microsoft Exchange Server 2013 - Remote Code Execution Critical

Microsoft Exchange Server 2016 - Remote Code Execution

Elég egy rosszindulatú mellékletes levelet küldeni és az Exchange szerver pwnd?

--
trey @ gépház

Igen, ez így van. Szerintem a Microsoft kb. leszarja az egészet. Nem tudják a szar rendszerüket jól 0sszerakni. Meg nem is akarják. Sajnos még alternatívájuk sincs a piaci 9x %-os részesedésükkel, szóval tényleg azt csinálnak, amit akarnak.

Nagyon kellene egy minden szempontból potens vetélytárs melléjük a piacon, akit nem tudnának sem pénzzel, sem jogilag sarokba szorítani, hogy egy egészséges konkurrenciaharc kialakulhasson. Lássuk be, ennek az esélye 0% közeli.

--
robyboy

Továbbra sem válaszoltad meg, hogyan blokkoljon egy másik process-t, ha ő magának nincs jogosultsága rá (sandbox).

Egyrészt ez nem az én dolgom, másrészt ebben a formában a kalap szar ez a "védelmi rendszer", ha ennyire lehetetlen megvalósítani normálisan, akkor a válasz az, hogy szedjék ki. Többet árt így, mint használ.

--
trey @ gépház

PS K:\> Get-WmiObject win32_service | Where-Object {$_.startname -eq "LocalSystem"} | measure

Count : 183

Most akkor dobjam ki az Ablakon(m)?

Ezek közül melyik az, amelyik az összes bejövő fájlt átnyálazza akár real-time és _nélkülözhető összetevője_ a rendszernek?

--
trey @ gépház

Az, hogy átnyálazza az összes fájlt irreleváns, mert innen az összesnek joga van rá.

Összegyűjteni sem tudom mennyi fut feleslegesen így, első blikkre:

Adobe Flash Player Updater
Apple Mobile Device Service
Bonjour Service
Cisco AnnyConnect Agent
Client License Service (MS)
Google Update Service
Geolocation Service (MS)
HP Touchpoint Analytics (keylogger?)
Intel HD Grapchs Control Panel Service
OfficeScan Common Client Solution Framework (Trend Micro, hoppácska)
OfficeScan NT Listener
OfficeScan Realtime Scan
Print Spooler (MS)
Xbox *.*

"Az, hogy átnyálazza az összes fájlt irreleváns,"

Hogy lenne az? Pont azért veszélyes, mert ez egyből átcsócsálja a fájlokat, azaz ha ki akarod használni, ez tuti találkozni fog vele. Onnan elég egy ilyen RCE sebezhetőség és a game over.

"Összegyűjteni sem tudom mennyi fut feleslegesen így, első blikkre:"

Ezek közül melyik fut default a rendszer része és nyit meg minden fájlt? Szerintem te nem érted, hogy mit akarok mondani.

--
trey @ gépház

Annyira trivialis, hogy leri az egeszrol, hogy direkt csinaljak.

- Egyszer csak van valahonnan egy ismeretlen adatkupac.
- csinal a rendszer egy friss sandboxot, belerakja (akar zero copy, stb. az elv a lenyeg) az ismeretlen adatot, a csekkolo progit es elindita azt.
- egyetlen, ossz-vissz 1 bites kimenetet figyel a sandboxon kivulrol:
1 == Egyertelmuen gonosz cuccot talalt a csekkolo
0 == Nem egyertelmu. Vagy OK, vagy gonosz, vagy lefagyasztottak a csekkolot (timeout) vagy megtortek es a neveben 0-ra allitottak a kimenetet.
- sandbox eldobasa, kimenettel a korulmenyek szerint kezd valamit.

A legrosszabb esetben (megtortek es azt allitjak a neveben, hogy tiszta az adat, nyugodtan futtathatja a rendszer USER joggal ES ugy dont a rendszer, hogy jelen esetben hisz neki) is meg egy kovetkezo biztonsagi res kell az USER->ADMIN ugrashoz. Jelenleg az elso res mar rogton admin jogot ad.

Külön örömség, hogy a böngészők rávehetők, hogy az user megkérdezése nélkül letöltsenek bármit, pl.:

   <a href="testcase.txt" download id=link>
   <script>
   document.getElementById("link").click();
   </script>

Fun-fact:
In fact, after Google Project Zero’s Tavis Ormandy discovered the flaw, he had to encrypt the proof-of-concept demo file before sending it to Microsoft so it wouldn’t potentially crash Microsoft’s email servers.

"In fact, after Google Project Zero’s Tavis Ormandy discovered the flaw, he had to encrypt the proof-of-concept demo file before sending it to Microsoft so it wouldn’t potentially crash Microsoft’s email servers."

ROTFL :D

--
trey @ gépház

anyááááám :D


"all submitted complaints will be forwarded to /dev/null for further investigation"

Most lehet, hogy tevedek, de az a bizonyos 3rd party billentyuzetet neked kell telepiteni, nem?

--
http://blog.htmm.hu/

Így van. Összehasonlíthatatlan a kettő probléma súlya minden szempontból.

--
trey @ gépház

+1

Ha az AVG-től régen vásárolt megoldást kivesszük a képből és nem használjuk akkor viszont szerintem tényleg egész biztonságos, de mivel zárt forrású így mindenki csak véleményt tud róla mondani.

Az, hogy sebezhető, mindig az nagy baj, de az, hogy be van építve, javítva és ingyenes az nagyon jó benne. Alapvetően rábízom magam mert nem tudom, hogy a másik mennyivel jobb.

Az hogy system joggal fut bármi is aminek nem kell az kegyetlen nagy gáz.

Kell neki a SYSTEM jog.
De most már tényleg szeretnék látni egy másik vírusirtót, ami emelt privilégiumok nélkül képes blokkolni egy más process tevékenységét.

"A remote code execution vulnerability exists when the Microsoft Malware Protection Engine does not properly scan a specially crafted file, leading to memory corruption. "

Olyan megoldás nem lehetséges, hogy a fájlokat feldolgozó egység sandboxban/alacsony jogosultságokkal fut?

Azt hiszem, hogy nyugodtan feltételezhetjük nem ez volt az utolsó ilyen jellegű probléma.

Alapvetö problémám a mai rendszerekkel kapcsolatban, hogy mitöl is lennének biztonságosak?
Minden alkalmazás egy fekete doboz, amit ha az ember elindít, gyakorlatilag bármit tehet a rendszerrel, illetve az adatokkal.

Biztonságról beszélni az informatikában már csupán emiatt is röhejes.

Máshogy megfogalmazva: mitöl biztonságos a kés? Attól, hogy vágok vele és nem ölök? A probléma ezzel az, hogy ez nem a késen múlik, hanem az emberen.

--
robyboy