Windows Defender: Scoperta e corretta una grave vulnerabilità nell'MMPE.


In questi giorni un ricercatore del team Google Project Zero ha scoperto una grave vulnerabilità all'interno del Microsoft Malware Protection Engine, (noto anche con la sigla MMPE), vale a dire il componente di Windows Defender che effettua la scansione dei file alla ricerca di eventuali malware. In pratica questo bug, classificato come critico ed identificato con il codice CVE-2018-0986, poteva essere sfruttato per ottenere il controllo completo del sistema operativo, ma fortunatamente Microsoft ha già ha rilasciato una patch di emergenza per correggere il problema. Entrando un po' più nei dettagli il componente MMPE, (ossia il processo mpengine.dll), viene eseguito con privilegi di Sistema e quindi un eventuale exploit può garantire accesso completo a Windows e di conseguenza consentire ad un eventuale malintenzionato una serie di azioni molto pericolose, (tra cui l'installazione di programmi, la cancellazione dei dati e la creazione di nuovi account con diritti elevati). Inoltre i responsabili dell'azienda hanno spiegato che la vulnerabilità in questione poteva essere sfruttata senza l'intervento dell'utente qualora era stata attivata la protezione in tempo reale di Windows Defender, in quanto la scansione dei file avviene in maniera automatica. Tra l'altro un malintenzionato poteva utilizzare diverse alternative per distribuire un file infetto che, una volta analizzato dal software, porta alla corruzione della memoria: ad esempio, era possibile nascondere il codice nelle pagine di un sito web, allegare il file ad un messaggio di posta elettronica o inviarlo tramite un client di messaggistica; un tipo di attacco piuttosto semplice da mettere in pratica. Comunque sia, come già anticipato, Microsoft ha già avviato la distribuzione di una patch correttiva per tutte le versioni di Windows supportate, (da Windows 7 a Windows 10): l'installazione dovrebbe avvenire in maniera automatica mediante i meccanismi di aggiornamento dei prodotti affetti e quindi non dovrebbe essere necessaria alcuna azione da parte dell'utente, ma per verificare se si dispone della versione "corretta", basterà aprire Windows Defender e verificare, infine, che la versione del Malware Protection Engine sia la 1.1.14700.5, (o successiva).

Commenti