Windows Defender’daki bir uzaktan kod yürütme güvenlik açığı – kötü amaçlı .rar dosyaları tarafından PC’lerde kötü amaçlı yazılım çalıştırmak için kullanılabilecek bir kusur – Microsoft, kendi kullanımı için benimsenen açık kaynaklı bir arşivleme aracıdır.
Hata, CVE-2018-0986, Windows Defender, Güvenlik Temelleri, Exchange Server, Forefront Endpoint Protection ve Intune Endpoint Protection’da Microsoft Zararlı Yazılımlardan Koruma Altyapısı’nın (1.1.14700.5) en son sürümünde Salı günü yamalanmıştır. Bu güncelleme yüklü olmalı veya cihazınıza önceden yüklenmiş olabilir.
Güvenlik açığı, bir saldırganın, bir kötü amaçlı yazılım motorunun tarama özelliği açıkken özel olarak hazırlanmış bir .rar dosyası olan bir web sayfası veya e-posta veya benzeri bir yolla indirilmesi işaretini alarak bir kurbanın makinesinde uzaktan kod yürütülmesine ulaşması için kullanılabilir. Çoğu durumda, bu analiz otomatik olarak gerçekleşecek şekilde ayarlanmıştır.
Kötü amaçlı yazılım motoru kötü amaçlı arşivi tararken, güçlü LocalSystem hakları ile dosya içinde kaçak olan kötü kodun çalıştırılmasına yol açan ve bilgisayar üzerinde tam denetim sağlayan bir bellek bozulması hatası tetikler .
Rezaletin edildi keşfetti ve rapor artık Google için çalışan efsanevi güvenlik araştırmacısı Halvar Flake tarafından Microsoft’a. Flake, güvenlik açığını, .rar arşivlerini açmak için kullanılan açık kaynaklı bir arşivleme yardımcı programının eski bir sürümüne geri dönüştü.
Görünüşe göre, Microsoft unrarın bu sürümünü çıkardı ve bileşeni işletim sisteminin antivirüs motoruna dahil etti. Bu çatallı kod daha sonra değiştirildi, böylece tüm imzalı tamsayı değişkenleri imzasız değişkenlere dönüştürüldü ve matematiksel karşılaştırmalar ile knock-on problemlerine neden oldu. Bu da yazılımın antivirüs paketini çökmesine veya kötü amaçlı kodun çalıştırılmasına izin vermesine yol açabilecek bellek bozulma hatalarına karşı savunmasız kaldı.
Kullanıcılar ve yöneticiler en kısa sürede Windows Defender ve Kötü Amaçlı Yazılım Koruma Altyapısının kopyasını güncellemeye çalışmalıdır.