漏洞預警 | Windows系統惡意軟體防護引擎曝嚴重遠程代碼執行漏洞（CVE-2017-0290）

微軟昨天發布了安全公告——微軟自家的惡意程序防護引擎出現高危安全漏洞。影響到包括MSE、Windows Defender防火牆等在內的產品，危害性還是相當嚴重的。微軟當前已經提供了升級以修復漏洞，並表示沒有證據表明攻擊者已經利用該漏洞。

漏洞編號：

CVE-2017-0290

漏洞危害程度：

Critical，嚴重

漏洞概述：

簡單說來，

當微軟惡意程序防護引

擎（Microsoft Malware Protection Engine）檢測某個惡意構造的文件後，攻擊者就能利用漏洞實現遠程代碼執行。

成功利用該漏洞，攻擊者就能在LocalSystem帳號安全上下文執行任意代碼，並控制系統。

攻擊者隨後就能安裝程序；查看、更改或刪除數據；或者以完整的用戶許可權來構建新賬戶。

攻擊者實際上有很多種方法讓微軟的惡意程序保護引擎掃描到惡意構建的文件，比如目標用戶瀏覽某

個網站的時候就能分發惡意部署文件，或者通過郵件信息、即時通訊消息——在實時掃描開啟的情況下，甚至不需要用戶打開這些文件，微軟惡意程序防護引擎就會對其進行掃描。

影響範圍：

很多微軟的反惡意程序產品都在使用微軟惡意程序防護引擎。鑒於其中包含Windows 7/8/8.1/10/Server 2016中就默認安裝的反惡意程序產品，該漏洞應該是非常嚴重。微軟在其安全公告頁面中列出了受影響產品，包括：

Microsoft Forefront Endpoint Protection 2010

Microsoft Endpoint Protection

Microsoft Forefront Security for SharePoint Service Pack 3

Microsoft System Center Endpoint Protection

Microsoft Security Essentials

Windows Defender for Windows 7

Windows Defender for Windows 8.1

Windows Defender for Windows RT 8.1

Windows Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703

Windows Intune Endpoint Protection

漏洞詳情：

具體來說，MsMpEng是惡意程序防護服務，Windows 8/8.1/10/Server 2012等都默認啟用。MSE（Microsoft Security Essentials）、系統中心終端防護和微軟的各種安全產品都採用此核心引擎。

MsMpEng以AUTHORITYSYSTEM許可權運行，無沙盒，通過Windows服務（如Exchange、IIS等）在無需身份認證的情況下可遠程訪問。

對於工作站而言，攻擊者給用戶發送郵件（甚至不需要閱讀郵件或打開附件）、在瀏覽器中訪問鏈接、使用即時通訊等，就能訪問mpengine（MsMpEng用於掃描和分析的核心組件）。因為MsMpEng採用文件系統minifilter來攔截以及檢查所有的文件系統活動，所以給硬碟的任意位置寫入相應內容就能實現mpengine中函數的訪問。

鑒於其高許可權、可訪問及普遍存在性，MsMpEng中的這個漏洞還是極為嚴重的。

不難發現mpengine本身就是個很大的攻擊面，其中包含很多專門的文件格式、可執行封裝包、cryptor、完整系統模擬器的Handler，還有各種架構和語言的解釋器。所有這些代碼，遠程攻擊者都是可以訪問的。

其中NScript是mpengine的一個組件，這個組件用於評估任意看起來像是JS的文件系統或網路活動。值得一提的是，這是個無沙盒環境、高許可權的JavaScript interpreter——用於評估不受信任的代碼。

谷歌的研究人員寫了個工具，通過代碼shell訪問NScript。發現函數JsDelegateObject_Error::toString()會從中讀取「message」屬性，但在傳遞給JsRuntimeState::triggerShortStrEvent()之前未能驗證屬性類型。其默認假定message是個字元串，但實際上可以是任意類型。這就能夠讓攻擊者傳遞其它任意對象。

更多

詳情可參見Chromium。其中也提供了漏洞再現的方法。

若要再現該漏洞，可點擊這裡下載：https://bugs.chromium.org/p/project-zero/issues/attachment?aid=283405 。訪問

包含下述代碼的網站後，

捕捉到的debug會話：

值得一提的是，在執行JS之前，mpengine採用各種啟發式方案來決定是否有必要作評估。其中一個啟發式方案會評估文件熵——不過研究人員發現其實只要附加上足夠多的注釋，也就能夠觸發所謂的「評估」過程了。

修復方法：

微軟在安全公告中提到，終端用戶和企業管理員不需要進行額外的操作，微軟惡意程序引擎本身自動檢測和更新部署機制會在48小時內應用更新。具體更新時間，視所用軟體、互聯網連接和基建配置而定。

* 參考來源：Chromium，微軟安全公告，FreeBuf官方出品，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！