نقص امنیتی جدی در موتور ضدبدافزار مایکروسافت

بر اساس گزارش آسیب پذیری شماره ۲۹۷۴۲۹۴ شرکت مایکروسافت، موتور ضد بدافزار مایکروسافت دارای یک نقص جدی است که می تواند منجر به حمله انکار سرویس (DDoS) شود.  

از مرکز ماهر، آسیب پذیری مذکور در کد CVE، CVE-2014-2779 شرح داده شده است. این آسیب پذیری در نسخه های ۱.۱.۱۰۶۰۰.۰ تا ۱.۱.۱۰۷۰۱.۰ ، موتور ضد بدافزار مایکروسافت وجود دارد.

موتور حفاظتی بدافزار مایکروسافت همراه با چندین محصولات ضدبدافزار مایکروسافت ، از جمله موارد زیر می باشد:

· Microsoft Forefront Client Security

· Microsoft Forefront Endpoint Protection 2010

· Microsoft Forefront Security for SharePoint Service Pack 3

· Microsoft System Center 2012Endpoint Protection

· Microsoft System Center 2012 Endpoint Protection Service Pack ۱

· Microsoft Malicious Software Removal Tool

· Microsoft Security Essentials

· Microsoft Security Essentials Prerelease

· Windows Defender for Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012R2

· Windows Defender for Windows RT and Windows RT 8.1

· Windows Defender for Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008R2

· Windows Defender Offline

· Windows Intune Endpoint Protection

مهاجم برای سوء‌استفاده از این آسیب‌پذیری باید یک فایل دستکاری شده خاص (آلوده) را در سیستم قربانی قرار دهد و در صورتی که موتور محافظت از بدافزار مایکروسافت این فایل را اسکن کند، شرایط حمله انکار سرویس فراهم می‌شود.

مهاجمی که با موفقیت از این آسیب پذیری سوء استفاده نماید می تواند مانع اسکن شدن سیستم های آلوده با ابزار موتور ضد بدافزار مایکروسافت شود تا زمانی که آن فایل دستکاری شده خاص به صورت دستی حذف شده و سرویس ضد بدافزار مجددا راه اندازی شود.

راه های بسیاری وجود دارد که مهاجم می تواند این فایل خاص را در یک محل که توسط موتور ضد بدافزار مایکروسافت اسکن می شود قرار دهد. برای مثال، مهاجم می تواند از یک وب سایت برای ارائه فایل های آلوده به سیستم قربانی استفاده کند. 

این فایل آلوده زمانی که کاربر در حال مشاهده وب سایت است به سیستم وارد می شود. همچنین مهاجم می تواند فایل دستکاری شده خاص را از طریق پست الکترونیکی یا پیغام مسنجر در سیستم قربانی قرار دهد.

اگر قابلیت حفاظت real-time در نرم افزار ضدبدافزار آسیب دیده فعال باشد، موتور ضد بدافزار مایکروسافت فایل ها را به طور خودکار اسکن میکند و زمانی که فایل دستکاری شده خاص اسکن شود منجر به بهره برداری از این آسیب پذیری خواهد شد. 

اگر اسکن real-time فعال نباشد، به منظور بهره برداری از این آسیب پذیری مهاجم لازم است منتظر بماند تا اسکن برنامه ریزی شده اتفاق افتد.

علاوه بر این، بهره برداری از این آسیب پذیری می تواند هنگامی که سیستم در حال اسکن با استفاده از ورژن آسیب دیده ابزار حذف نرم افزار مخرب (MSRT)[۱] است رخ دهد.

خبر خوب برای مدیران این است که به روز رسانی موتور ضد بدافزار مایکروسافت به صورت خودکار انجام می گیرد در نتیجه کاربران فقط باید اطمینان حاصل کنند که نرم افزار امکان دریافت و نصب خودکار به روز رسانی را دارا می باشد.