Google Project Zero finder alvorlig fejl i Windows Defender

Google Project Zero forskeren Tavis Ormandy har fundet en alvorlig sikkerhedsfejl i Windows Defender.

En bruger med real-time beskyttelse slået til (hvilket er standardopsætning) kan rammes af at besøge et website eller få tilsendt en e-mail med en ondsindet vedhæftning.

Det specielle er at brugeren ikke behøver at åbne vedhæftningen; det er nok at e-mail'en hentes.

Selv hvis man har real-time beskyttelse slået fra, afvikles filen automatisk efter det næste virusscan.

Årsagen er at den sårbare x86-emulator ikke er beskyttet af en sandbox.

Tavis Ormandy skrev et stykke kode der tillod ham at afvikle fuzzing-værktøjer for Linux, på uvilkårlige Windows DLL-filer. Og problemet lå i ERNEL32.DLL!VFS_Write API'et.

Fuzzing er en testmetode hvor man kan findes fejl, ved at fodre en applikation med korrupte data og uventede inputs.

Fejlen gjorde at man kan afvikle uvilkårlig kode med samme systemrettigheder som en lokal konto. Dette gør at en hacker vil kunne overtage kontrollen og installere programmer, vise/ændre/slette data og lave nye konti med fuldt sæt rettigheder.

Billede: Flavio Takemoto, FreeImages.com

Kategori: Software  

Tags: microsoft   windows defender   google project zero   tavis ormandy   x86-emulator   fuzzing   fuzzer