Подразделение Google под названием Project Zero, которое занимается поиском уязвимостей в стороннем ПО, нашло 12 мая еще одну очень опасную уязвимость в Windows, которую Microsoft уже закрыла на прошлой неделе, причем без лишнего шума. Найдена уязвимость была исследователем Трэвисом Орманди (Travis Ormandy).
Трэвис - это тот же исследователь, который несколько дней назад нашел опасную уязвимость во всех версиях Windows, кроме последней Windows 10. На этот раз уязвимость была обнаружена прямо в движке используемом для защиты от вредоносных программ, который используется в Windows Defender.
MsMpEng имеет полную системную эмуляцию x86, которая используется для запуска подозрительных файлов. Эмулятор запускается с правами NT AUTHORITY\SYSTEM и не изолирован. Просматривая список win32 API, которые поддерживает эмулятор, я увидел ntdll!NtControlChannel, который позволяет эмулированному коду контролировать эмулятор
Комментарии
Комментариев нет...
Для возможности комментировать войдите в 1 клик через
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.236 секунд (Общее время SQL: 0.218 секунд - SQL запросов: 75 - Среднее время SQL: 0.00291 секунд))