Cảnh báo lỗ hổng CVE-2017-11937: LỖ HỔNG NGHIÊM TRỌNG TRONG MICROSOFT MALWARE PROTECTION ENGINE

Ngày 06/12/2017, Microsoft đã phát hành bản vá bảo mật khẩn cấp để khắc phục một lỗ hổng nghiêm trọng, cho phép tin tặc thực thi mã từ xa (RCE) trong Microsoft Malware Protection Engine (CVE – 2017 – 11937). Từ đó, tin tặc có thể hoàn toàn chiếm quyền điều khiển máy tính của nạn nhân.

Microsoft Malware Protection Engine cung cấp các tính năng bảo mật an ninh mạng cốt lõi như rà quét, phát hiện và dọn dẹp đối với các chương antivirus và antimalware trong tất cả các sản phẩm của Microsoft.

Theo Microsoft, lỗ hổng này ảnh hưởng tới một lượng lớn các phần mềm bảo mật của hãng, bao gồm Windows Defender, Microsoft Security Essentials, Endpoint Protection, Forefront Endpoint Protection và Microsoft Exchange Server. Điều này có nghĩa là tất cả các phiên bản của Windows có cài sẵn Windows Defender đều bị ảnh hưởng.

Hình ảnh có liên quan

Kẻ tấn công có thể tạo một file giả mạo và gửi tới mát tính nạn nhân, máy tính thực hiện scan bằng Microsoft Malware Protection Engine sẽ kích hoạt một lỗi trong bộ nhớ và thực hiện bất kỳ mã thực thi nào trên hệ thống mục tiêu. Mã khai thác này sẽ được chạy ở đặc quyền LocalSystem.

Có rất nhiều cách tin tặc có thể cài đặt một file giả mạo vào máy tính của nạn nhân. Ví dụ: tin tặc có thể sử dụng một website để tải file giả mạo lên, khi người dùng mở trang web lên, file giả mạo sẽ được tự động tải về. Microsoft Malware Protection Engine sẽ mặc định rà quét trang web và file giả mạo đó sẽ được chuyển tới hệ thống của nạn nhân. Ngoài ra, tin tặc có thể phát tán file giả mạo thông qua Email hoặc dịch vụ Instant Messenger.

Các phiên bản bị ảnh hưởng bởi lỗ hổng này bao gồm

Critical Windows 7 for 32-bit Systems Service Pack 1
Critical Windows 7 for x64-based Systems Service Pack 1
Critical Windows 8.1 for 32-bit systems
Critical Windows 8.1 for x64-based systems
Critical Windows RT 8.1
Critical Windows 10 for 32-bit Systems
Critical Windows 10 for x64-based Systems
Critical Windows 10 Version 1511 for 32-bit Systems
Critical Windows 10 Version 1511 for x64-based Systems
Critical Windows 10 Version 1607 for 32-bit Systems
Critical Windows 10 Version 1607 for x64-based Systems
Critical Windows 10 Version 1703 for 32-bit Systems
Critical Windows 10 Version 1703 for x64-based Systems
Critical Windows 10 Version 1709 for 32-bit Systems
Critical Windows 10 Version 1709 for x64-based Systems
Critical Windows Server 2016
Critical Windows Server 2016 (Server Core installation)
Critical Windows Server, version 1709 (Server Core Installation)
Critical Microsoft Endpoint Protection
Critical Microsoft Exchange Server 2013
Critical Microsoft Exchange Server 2016
Critical Microsoft Forefront Endpoint Protection
Critical Microsoft Forefront Endpoint Protection 2010
Critical Microsoft Security Essentials

Khuyến nghị

Hiện tại, Microsoft đã đảm bảo với khách hàng của mình rằng lỗ hổng này đã được khắc phục trước khi có bất kì vụ tấn công hay lợi dụng nào.

Microsoft đã phát hành một bản cập nhật quan trọng cho Microsoft Malware Protection Engine cụ thể là phiên bản 1.1.14405.2 . Bản patch được Microsoft Malware Protection Engine tự động cập nhật hàng tháng để khắc phục các lỗ hổng nên người dùng không cần phải thực hiện thao tác gì. Đối với người dùng cài đặt thủ công cần ngay lập tức tải bản vá và update các phần mềm bảo mật của Microsoft sớm nhất có thể tại link: https://www.microsoft.com/en-us/wdsi/definitions.

Ngoài ra, CMC Infosec khuyến nghị khách hàng

  • không truy cập vào các trang web lạ
  • không tải về các file không rõ nguồn gốc
  • luôn cảnh giác với các mail và tin nhắn có nội dung đáng ngờ, không rõ nguồn gốc

Add Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.