Chỉnh sửa mã nguồn mở Unrar, Microsoft vô tình tạo ra lỗ hổng bảo mật trong Windows Defender

Một lỗ hổng mới bị phát hiện trong Windows Defender, có thể bị lợi dụng bởi các tập tin RAR nguy hiểm để chạy malware trên PC, được cho là xuất phát từ một công cụ nén mã nguồn mở mà Microsoft tích hợp vào chương trình này.

Theo đó, lỗ hổng này mang mã số CVE-2018-0986 và vừa được vá vào hôm thứ Ba tuần này trong phiên bản mới nhất của Microsoft Malware Protection Engine (1.1.14700.5) trong Windows Defender, Security Essentials, Exchange Server, Forefront Endpoint Protection, và Intune Endpoint Protection. Bản cập nhật này có lẽ đã được tự động cài đặt nếu bạn sử dụng các chương trình nêu trên và có kết nối đến mạng Internet.

Các hacker có thể lợi dụng lỗ hổng để thực hiện các đoạn mã từ xa trên máy tính nạn nhân chỉ bằng cách dụ dỗ người dùng tải về một tập tin đuôi RAR đặc biệt thông qua một trang web, email hoặc bất cứ thứ gì tương tự, với điều kiện tính năng tự động quét malware của Windows Defender đã được kích hoạt. Trong nhiều trường hợp, tính năng này vốn đã được kích hoạt mặc định và sẽ tự động thực hiện phân tích các tập tin tải về máy tính.

Khi Windows Defender bắt đầu quét tập tin nén độc hại nêu trên, nó sẽ vô tình kích hoạt một lỗi làm hỏng bộ nhớ, dẫn đến việc các đoạn mã độc nhúng trong tập tin RAR sẽ được thực thi với các quyền LocalSystem cực kỳ mạnh mẽ, cho phép nó chiếm quyền kiểm soát toàn bộ máy tính người dùng.

Chỉnh sửa mã nguồn mở Unrar, Microsoft vô tình tạo ra lỗ hổng bảo mật trong Windows Defender - Ảnh 1.

Lỗ hổng này đã được phát hiện và thông báo cho Microsoft bởi nhà nghiên cứu bảo mật “huyền thoại” Halvar Flake, hiện đang làm việc cho Google. Flake đã tìm hiểu và truy nguyên được nguồn gốc của lỗ hổng này: xuất phát từ một phiên bản unrar cũ – một tiện ích nén mã nguồn mở dùng để giải nén các tập tin RAR.

Có vẻ như Microsoft đã “bẻ nhánh” (fork) phiên bản unrar này và tích hợp nó vào trình diệt virus của mình. Đoạn mã đã fork kia sau đó được chỉnh sửa để mọi biến integer đã ký được chuyển sang các biến chưa ký, làm xuất hiện vấn đề với các phép so sánh toán học. Từ đó, nó gây ra lỗi hỏng bổ nhớ ảnh hưởng đến Windows Defender và có thể khiến trình antivirus này treo hoàn toàn, hoặc cho phép thực thi các đoạn mã độc.

Nói cách khác, Microsoft đã tự vả vào mặt mình!

Không cần phải nói, cho dù bạn là người dùng thông thường hay người quản trị hệ thống, việc nên làm ngay lúc này là cập nhật Windows Defender và Malware Protection Engine lên phiên bản mới nhất càng sớm càng tốt!

Theo Genk