Un ricercatore del team Google Project Zero ha scoperto una grave vulnerabilità nel Microsoft Malware Protection Engine (MMPE), il componente di Windows Defender che effettua la scansione dei file alla ricerca di eventuali malware. Il bug, classificato come critico, potrebbe essere sfruttato per ottenere il controllo completo del sistema operativo. L’azienda di Redmond ha rilasciato una patch di emergenza per correggere il problema.
Il componente MMPE (mpengine.dll) viene eseguito con privilegi System, quindi un eventuale exploit può garantire accesso completo a Windows e dunque consentire una serie di azioni molto pericolose, tra cui l’installazione di programmi, la cancellazione dei dati e la creazione di nuovi account con diritti elevati. Microsoft spiega che la vulnerabilità può essere sfruttata senza l’intervento dell’utente se è attivata la protezione in tempo reale di Defender, in quanto la scansione dei file avviene in maniera automatica.
Un malintenzionato potrebbe utilizzare diverse alternative per distribuire un file infetto che, una volta analizzato dal software, porta alla corruzione della memoria. È possibile, ad esempio, nascondere il codice nelle pagine di un sito web, allegare il file ad un messaggio di posta elettronica o inviarlo tramite un client di messaggistica. Si tratta quindi di un tipo di attacco piuttosto semplice da mettere in pratica.
Microsoft ha avviato la distribuzione della patch per tutte le versioni di Windows supportate (da Windows 7 SP1 a Windows 10). Al termine dell’aggiornamento, gli utenti dovrebbero leggere la nuova versione del Malware Protection Engine, ovvero 1.1.14700.5, nella pagina di Windows Defender.