Il ricercatore di sicurezza Tavis Ormandy del Google Project Zero ha scoperto l’ennesima grave vulnerabilità nel sistema operativo Microsoft. Il bug è presente nel Malware Protection Engine, usato da diversi software, il più noto dei quali è Windows Defender, preinstallato in Windows 7, 8.1, RT 8.1 e 10. Fortunatamente l’azienda di Redmond è corsa subito ai ripari, rilasciando la patch che risolve il problema.
La vulnerabilità potrebbe essere sfruttata per eseguire codice remoto, nel caso in cui il Malware Protection Engine effettui la scansione di un file contenente codice infetto. Oltre che da Windows Defender, il servizio corrispondente (MsMpEng) viene utilizzato in Microsoft Security Essentials e altri prodotti di sicurezza dedicati agli utenti aziendali. Esistono vari metodi per eseguire codice arbitrato sul computer della vittima. Una di essi prevede la semplice visita di un sito web. Lo stesso risultato si ottiene inviando un allegato via email o instant messenger.
Se la protezione in tempo reale è attivata, Windows Defender effettua la scansione del file, consentendo ad un malintenzionato di eseguire codice JavaScript sul computer con privilegi elevati e di prendere il controllo del sistema. È possibile, ad esempio, installare qualsiasi software, creare nuovi account e visualizzare, modificare o cancellare i dati. Ormandy ha specificato che questo tipo di attacco è “wormable”, quindi può diffondersi su altri computer collegati alla stessa rete.
Microsoft invita gli utenti ad installare la patch disponibile su Windows Update. La versione aggiornata e sicura del Malware Protection Engine è 1.1.13704.0 o superiori.