Consulenze tecnologiche e informatiche
Critical Malware Protection Engine Flaw

Critical Malware Protection Engine Flaw

L’agenzia britannica di spionaggio e attacchi cibernetici ha evidenziato nelle ultime ore una grave falla di sicurezza in Windows Defender, in particolare nel componente Malware Protection Engine attraverso il servizio RCE (Remote Command Execution).

La vulnerabilità è riconducibile a quella evidenziata lo scorso maggio dal Progetto Zero di Google e descritta nel bollettino di sicurezza CVE-2017-11937.

La falla di sicurezza si è ripresentata sui sistemi Microsoft Windows 10 e sembra che Microsoft abbia previsto il rilascio della patch per il prossimo 12 dicembre. La vulnerabilità sembra interessare solo le postazioni desktop.

 

Come agisce e cosa combina

 

L’attacco sfrutta un “errore” che permette di mandare in esecuzione del codice esterno in seguito ad una corruzione di memoria, un classico meccanismo di infiltrazione da parte dei malware.

L’attacco è agevolato dallo scopo di Windows Defender, ovvero cercare e bloccare attacchi virali, nello specifico da parte di malware.

Nella postazione di lavoro viene inoculato un file strutturato per sfruttare la falla e far eseguire il proprio codice, questo file può essere importato accidentalmente durante la navigazione, con il salvataggio volontario di un contenuto o con il caricamento della pagina nelle cache del browser.

Un’altra linea di accesso può essere il tipico allegato ad una mail, che una volta aperto e/o salvato innesca il malware.

Quando il file è presente sul computer il programma Windows Defender, se attivo, lo analizza, può operare in modi diversi in base a come è stato configurato.

Nel caso in qui sia configurato per eseguire le scansioni in tempo reale, il file anomalo viene intercettato appena salvato ed il suo contenuto eseguito.

Nel caso di scansioni programmate il file anomalo resta in attesa del controllo programmato e solo in quel momento andrà in esecuzione.

 

Cosa si può fare?

 

Possiamo attendere il rilascio della patch e nel mentre disattivare Windows Defender, la sicurezza di non essere colpito dopo averlo disattivato non è assoluta.

Noi grazie ad Autotask EndPoint Managment abbiamo già forzato lo spegnimento del componente appena i computer verranno riaccesi lunedì mattina.

Non dimenticare gli aggiornamenti!

 

Se sei interessato ad approfondire questi contenuti o ad avere nella tua aziende questi strumenti o i prodotti menzionati, contattaci attraverso la pagina di contatto di questo sito, o se preferisci cercami attraverso la pagina FaceBook o il mio profilo Linkedin.

Per essere informato sui nuovi articoli e contenuti puoi anche iscriverti alle nostre newsletter.

 

Categorie
Archivi
Count per Day
  • 120Questo articolo:
  • 199709Totale letture:
  • 361Letture odierne:
  • 208Letture di ieri:
  • 21 Novembre 2016Dal:
Iscriviti alla Newsletter
Iscriviti alla nostra newsletter ed unisciti ai nostri iscritti.

Seleziona lista (o più di una):




Trattamento dei dati