کمیته رکن چهارم – محقق امنیتی گوگل که بسیار در زمینهی کشف آسیبپذیریها معروف است و تاویوس اورماندی نام دارد، آسیبپذیری جدیدی را در ویندوز دیفندر مایکروسافت کشف کرده است. نفوذگران با بهرهبرداری از این آسیبپذیری میتوانند ابزار ضدبدافزاری مایکروسافت را دور بزنند.
محقق امنیتی گوگل روز جمعه گزارشی را بهطور عمومی منتشر کرد که در آن یک آسیبپذیری در ویندوز دیفندر مایکروسافت افشاء شده بود. اورماندی زمانی این آسیبپذیری را افشاء کرد که مایکروسافت این نرمافزار خود را منتشر کرد. این در حالی است که آسیبپذیری در تاریخ ۹ ژوئن به شرکت مایکروسافت گزارش شده بود.
این آسیبپذیری در سامانههایی وجود دارد که از شبیهساز x۸۶ در محیطهای غیر-جعبهشنی استفاده میکنند. این محقق توضیح داد که اشکالاتی در دستورات apicall وجود دارد که واسطهای برنامهنویسی شبیهساز داخلی را با امتیازات سامانهای فراخوانی میکند. او اعلام کرد متأسفانه این قابلیت بهطور پیشفرض برای مهاجمان از راه دور وجود دارد.
این محقق همچنین در واسطهای برنامهنویسی KERNEL۳۲.DLL!VFS_Write اشکالاتی مربوط به خرابی پشته را کشف کرده است. این محقق گفت: «من در مورد واسطهای برنامهنویسی و دستورات apicall از مایکروسافت سؤال کردم و آنها پاسخ دادند به دلایل مختلفی این دستورات میتوانند واسطهای شبیهساز داخلی را فراخوانی کنند و بهعبارت دیگر این مسئله عمدی بوده است.»
پس از افشای این آسیبپذیری بهطور عمومی، اورماندی یک نمونهی کوچک از کدهای آزمایشی خود را منتشر کرد تا نشان دهد که این آسیبپذیری قابل بهرهبرداری است.
MpApiCall(“NTDLL.DLL”, “VFS_Write”, ۱, Buf, ۰, ۰xffffffff, ۰);
MpApiCall(“NTDLL.DLL”, “VFS_Write”, ۱, Buf, ۰x۷ff, ۰x۴۱۴۱۴۱۴۱, ۰);
اورماندی گفت: «فراخوانی اول، طول پرونده را تا nOffset گسترش میدهد اما بهدلیل اینکه پارامتر numberOfBytes برابر با صفر است، هیچ حافظهای به آن تخصیص داده نشده است. به همین دلیل شما در ادامه میتوانید هر دادهای را از بافر شیء MutableByteStream را خوانده و در آن بنویسید. این یکی از اصول مهم در بهرهبرداری از این آسیبپذیری است و بهنظر میرسد این کار خیلی هم سخت نیست.» مایکروسافت نسخهی جدیدی از ماشین حفاظت در برابر بدافزار را با شمارهی ۱.۱.۱۳۹۰۳.۰ منتشر کرد.
منبع : securityaffairs
