Microsoft Issues Emergency Windows Security Update For A Critical Vulnerability

Swati Khandelwalem 07/12/2017 no site The Hacker News

If your computer is running Microsoft's Windows operating system, then you need to apply this emergency patch immediately. By immediately, I mean now!

Microsoft has just released an emergency security patch to address a critical remote code execution (RCE) vulnerability in its Malware Protection Engine (MPE) that could allow an attacker to take full control of a victim's PC.

Enabled by default, Microsoft Malware Protection Engine offers the core cybersecurity capabilities, like scanning, detection, and cleaning, for the company's antivirus and antimalware programs in all of its products.

According to Microsoft, the vulnerability affects a large number of Microsoft security products, including Windows Defender and Microsoft Security Essentials along with Endpoint Protection, Forefront Endpoint Protection, and Exchange Server 2013 and 2016, impacting Windows 7, Windows 8.1, Windows 10, Windows RT 8.1, and Windows Server.

Tracked as CVE-2017-11937, the vulnerability is a memory corruption issue which is triggered when the Malware Protection Engine scans a specially crafted file to check for any potential threat.

Flaw Lets Hackers Take Full Control of Your Computer

Successful exploitation of the flaw could allow a remote attacker to execute malicious code in the security context of the LocalSystem account and take control of the target's computer.

Microsoft said an attacker could place a specially crafted malicious file in a location that is scanned by the Malware Protection Engine to exploit the memory corruption flaw which eventually leads to remote code execution.

"There are many ways that an attacker could place a specially crafted file in a location that is scanned by the Microsoft Malware Protection Engine. For example, an attacker could use a website to deliver a specially crafted file to the victim's system that is scanned when the website is viewed by the user," the report from Microsoft explained.

Other ways to deliver a specially crafted file could be via emails or Instant Messenger services. The attacker could also "take advantage of websites that accept or host user-provided content, to upload a specially crafted file to a shared location that is scanned by the Malware Protection Engine running on the hosting server," the report said.

Patch! Patch! Patch!

Microsoft assured its customers that the vulnerability was fixed before any misuses in the wild.

The company has released an out-of-band critical update for the flaw and advised users to install it as soon as possible. Most home users and many enterprise customers will get the emergency patch automatically over the air.

The security vulnerability was discovered and reported to Microsoft by the UK's National Cyber Security Centre (NCSC), a cyber defense organization of Britain's signals intelligence and cybersecurity agency, known as GCHQ.

The emergency fix comes just days before Microsoft is scheduled to roll out its December Patch Tuesday updates.

Brechas de segurança da Microsoft estão no cerne do hacking nas eleições americanas

Preston Gralla - Computerworld EUA

21 de Junho de 2017

O hacking russo nas eleições norte-americanas de 2016 foi mais fundo do que invadir o Comitê Nacional Democrata e a campanha de Hilary Clinton. Os russos também entraram no sistema para obter informações sobre hardware e software relacionados às eleições pouco antes do início das votações.

O The Intercept publicou um documento secreto da Agência de Segurança Nacional (NSA) dos EUA que mostra exatamente como os russos fizeram o trabalho sujo ao ter como alvo tanto hardware quanto software eleitoral. E, no coração do hacking, está um gigantesco buraco de segurança da Microsoft que existe desde antes do ano 2000 e ainda não foi fechado. E provavelmente nunca fechará.

A reportagem mostra um pouco sobre o funcionamento do esquema russo, detalhado pelo documento secreto da NSA. Alegadamente, a agência de inteligência militar russa, a GRU, lançou uma campanha de spearphishing contra uma empresa americana que desenvolve sistemas eleitorais dos EUA. (A Intercept nota que a empresa provável era a "VR Systems, fornecedora de serviços de votação eletrônica e equipamentos, com sede na Flórida, cujos produtos são usados ​​em oito estados). 

Falsos e-mails de alerta do Google foram enviados pelo 'noreplyautomaticservice@gmail.com' para sete dos funcionários da empresa. Aos funcionários foi dito que eles precisavam entrar imediatamente em um site do Google. O site era falso. Quando pelo menos um funcionário iniciou a sessão, suas credenciais foram roubadas.

Usando essas credenciais, a GRU invadiu a empresa eleitoral, relata o documento da NSA, e roubou documentos por um segundo, um ataque muito perigoso. Neste segundo ataque, lançado em 31 de outubro ou 1 de novembro de 2016, os e-mails foram enviados para 122 endereços "associados a organizações locais do governo", que provavelmente pertenciam a funcionários envolvidos na administração de sistemas de registro de eleitores." Em outras palavras, os russos visavam pessoas que mantêm os rolos de registro de eleitores. Este é ponto em que o furo de segurança da Microsoft entra. Anexos estavam documentos do Microsoft Word que os e-mails reivindicavam ser documentação para a linha de produtos do banco de eleitores EViD da VR Systems. 

Na verdade, eles eram "documentos contendo trojan, um script Visual Basic malicioso que engloba o PowerShell e o usa para executar uma série de comandos para recuperar e executar uma carga útil desconhecida de infraestrutura mal intencionada. A carga desconhecida provavelmente instala uma segunda carga que pode ser usada para estabelecer acesso persistente para pesquisar a vítima por itens de interesse para os atores da ameaça." 

Em inglês simples, o documento do Word abriu uma back door para os computadores das vítimas, permitindo que os russos instalassem qualquer malware que eles quisessem e obtivessem praticamente qualquer informação a que as vítimas tivessem acesso. 

Não está claro qual a informação eleitoral que os russos conseguiram reunir ou como eles poderiam tê-las usado. Mas usando o furo de segurança da Microsoft, eles foram potencialmente capazes de se aproximar muito do hardware e software eleitoral dos estados e, possivelmente, dos registros de eleitores.

Aqueles com uma boa memória podem lembrar que o Visual Basic desempenhou um papel fundamental em dois dos primeiros ataques de vírus do mundo, o Melissa em 1999 e o ILoveYou em 2000. 

Em 2002, Michael Zboray, então diretor de tecnologia do Gartner Group e agora CISO da Gartner, disse que o Visual Basic tem a "postura de segurança errada" e acrescentou: "O script do Visual Basic e as macros estão provando ser um desastre. Isso está acontecendo uma e outra vez. Temos de nos afastar deste conteúdo ativo hostil que está chegando através de documentos do Word, planilhas do Excel e do navegador."

E agora, 15 anos depois, eles ainda provam ser um desastre. O Visual Basic deu lugar ao Visual Basic for Applications, mas os buracos permanecem. A empresa de segurança Sophos alertou, em um blog em 2015, que esses tipos de ataques estavam fazendo um retorno. Este russo mostra que eles estão de volta com uma vingança.

É improvável que a Microsoft abandone o Visual Basic for Applications, porque muitas empresas dependem disso. Portanto, as empresas precisam ficar mais inteligentes quanto ao seu uso. A Sophos recomenda que eles considerem bloquear todos os arquivos do Office que são enviados por email de fora de uma empresa, se esses arquivos possuirem macros criados com o Visual Basic for Applications. A Microsoft oferece um conselho próprio em sua publicação de segurança: "O novo recurso no Office 2016 pode bloquear macros e ajudar a prevenir a infecção", incluindo instruções sobre como as empresas podem usar a Política de Grupo para bloquear macros de execução em documentos do Word, Excel e PowerPoint enviados por email ou baixado da internet.

As empresas precisam perceber que o Visual Basic for Applications e suas macros são uma arma potente para hackers e autores de malwares. Se pode ameaçar as eleições dos EUA, certamente pode ameaçar os documentos e segredos mais importantes das empresas. Dado que a Microsoft não encerrará o Visual Basic for Applications, as empresas precisam assumir o controle, bloqueando macros e scripts em documentos recebidos.