Корпорация Microsoft сообщила об оперативном устранении уязвимости в коде встроенного антивируса ОС Windows, благодаря которой любой компьютер оказывался для киберпреступников открытой книгой - от тех, что работают версиях Windows 7 до версии Server 2016. Поиск решения проблемы занял три дня.
Фрагмент программного кода, о котором идет речь, получил официальное название CVE-2017-0290. Он позволяет удаленно атаковать систему без взаимодействия с учетной записью владельца ПК. Киберпреступнику достаточно отправить e-mail или сообщение через мессенжер, не вызывав при этом тревоги у Windows Defender. В результате, все, что было автоматически проверено Defender, включая сайты, пути общего доступа к файлам и так далее, оказались открыты для атаки.
Впервые о проблеме заявил специалист по информационной безопасности Тэвис Орманди из Google Project Zero в пятницу вечером, назвав ее "самой опасной за последнее время". По его словам, атака эффективна в отношении дефолтной установки, компьютеры могут не быть в одной локальной сети, а фрагмент кода можно использовать для реализации серии последовательных атак в автоматическом режиме от машины к машине.
Если быть точным, уязвимость содержалась в одном из компонентов процесса MSMPEngine, который называется Nscript, никогда не помещается в "песочницу" и работает с высшим уровнем доступа к системе. Атака может быть осуществлена с использованием zip-файла, файлов Python, образа, по локальной сети или через интернет.
Большинство экспертов по информационной безопасности посчитали, что корпорации понадобится несколько недель для исправления проблемы, но нужный патч был выпущен в понедельник вечером.